本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Organizations 术语和概念
为了帮助您开始使用 Amazon Organizations,本主题介绍了一些主要概念。
下图显示了一个包含五个账户的基本组织,这些账户在根下分为四个组织部门(OU)。此外,该组织还有一些策略附加到其中部分 OU 或者直接附加到账户。有关这些项目中每一项的描述,请参阅本主题中的定义。
- Organization(组织)
-
您为合并 Amazon 账户(以便可以将这些账户作为单个单位进行管理)而创建的实体。您可以使用 Amazon Organizations 控制台
集中查看和管理组织内您的所有账户。一个组织有一个管理账户以及零个或多个成员账户。您可以以分层树状结构组织账户,将根放在树顶部,组织部门嵌套在根下。每个账户都可以直接放在根中,也可以放在层次结构的其中一个 OU 中。一个组织的功能由您启用的功能集决定。 - Root
-
您的组织的所有账户的父容器。如果您将一个策略附加到根,则它应用于组织中的所有组织部门 (OU) 和账户。
注意
当前,您只能有一个根。Amazon Organizations 将在您创建组织时自动为您创建此根。
- 组织部门 (OU)
-
根中账户的容器。OU 还可以包含其他 OU,这使您能够创建类似于倒置树的层次结构,根位于顶部,OU 分支向下延伸,结束于作为树叶的账户。当您将策略附加到层次结构中的其中一个节点时,策略会向下流动,影响该节点下的所有分支 (OU) 和树叶 (账户)。一个 OU 有且仅有一个父级,而目前每个账户都正好是一个 OU 的成员。
- 账户
-
Organizations 中的账户是标准Amazon Web Services 账户,其中包含您的Amazon资源以及可以访问这些资源的身份。
提示
Amazon 账户与用户账户并非同一账户。Amazon用户是您使用 Amazon Identity and Access Management(IAM)创建的身份,其形式为具有长期凭证的 IAM 用户,或具有短期凭证的 IAM 角色。单个Amazon账户可以而且通常包含许多用户和角色。
组织中有两种类型的账户:一个指定为管理账户的单个账户,以及一个或多个成员账户。
-
管理账户是您用于创建组织的账户。从组织的管理账户中,您可以执行以下操作:
-
在组织中创建账户
-
邀请其他现有账户到组织中
-
从组织中删除账户
-
指定委托管理员账户
-
管理邀请
-
将策略应用到组织内的实体(根、OU 或者账户)
-
启用与支持的Amazon服务的集成,以便为组织中的所有账户提供服务功能。
管理账户具有付款人账户的责任,并负责支付成员账户产生的所有费用。您无法更改一个组织的管理账户。
-
-
成员账户组成组织中的所有账户的其余部分。一个账户一次只能是一个组织的成员。您可以将策略附加到账户,以仅对这个账户进行控制。
注意
您可以将一些成员账户指定为委托管理员账户。请参阅下面的 委托管理员。
-
- 委托管理员
-
我们建议您将 Organizations 管理账户及其用户和角色仅用于必须由该账户执行的任务。我们建议您将所有的 Amazon 资源存储在组织的其他成员账户中,而非保存在管理账户中。这是因为,Organizations 服务控制策略(SCP)等安全功能不会限制管理账户中的任何用户或角色。将资源与管理账户分离还可帮助您了解发票上的费用。在组织的管理账户中,您可以将一个或多个成员账户指定为委托管理员账户,以帮助您实施此建议。您可以使用两种类型的委托管理员:
Organizations 委托管理员:通过这些账户,您可以管理组织策略并将策略附加到组织内的实体(根、OU 或账户)。管理账户可以对委托权限进行精细控制。参阅 Amazon Organizations 的委托管理员 了解更多信息。
Amazon 服务的委托管理员:通过这些账户,您可以管理与 Organizations 集成的 Amazon 服务。管理账户可以根据需要,将不同的成员账户注册为不同服务的委托管理员。这些账户拥有特定服务的管理权限,以及 Organizations 只读操作权限。参阅 与 Organizations 配合使用的 Amazon 服务的委托管理员 了解更多信息。
- 邀请
-
邀请其他账户加入您的组织的过程。邀请只能由组织的管理账户发出。邀请扩展到与受邀账户相关联的账户 ID 或电子邮件地址。受邀账户接受邀请后,它将成为组织中的成员账户。如果组织需要所有当前成员账户批准将仅支持整合账单功能更改为支持组织中的所有功能,也可以将邀请发送到所有成员。通过交换握手信息,对各个账户发出邀请。在 Amazon Organizations 控制台中处理时,您可能看不到握手。但是,如果您使用 Amazon CLI 或 Amazon Organizations API,则必须直接处理握手。
- 握手
-
在双方之间交换信息的多步骤过程。它在 Amazon Organizations 中的一项主要用途就是作为邀请的底层实施。握手消息在握手发起方和接收方之间传递并由双方进行响应。消息的传递方式有助于确保双方知道当前状态是什么。将组织从仅支持整合账单功能更改为支持 提供的所有功能Amazon Organizations时,也可以使用握手。仅当您使用 Amazon Organizations API 或命令行工具(如 Amazon CLI)时,您通常需要直接与握手交互。
- 可用的功能集
-
-
所有功能 – Amazon Organizations 可用的默认功能集。它包括整合账单的所有功能,此外还包括高级功能,可让您更好地控制组织中的账户。例如,当启用了所有功能时,组织的管理账户将能够完全控制成员账户可以执行的操作。管理账户可以应用 SCP 来限制账户中的用户(包括根用户)和角色可以访问的服务和操作。管理账户可以防止成员账户退出组织。此外,您还可以启用与支持的 Amazon 服务的集成,以便让这些服务为组织中的所有账户提供功能。
您可以创建一个已启用所有功能的组织,或者您可以启用最初仅支持整合账单功能的组织中的所有功能。要启用所有功能,所有受邀成员账户都必须批准更改,方法为接受当管理账户启动此过程时发送的邀请。
-
整合账单 – 此功能集提供共享账单功能,但不包括 Amazon Organizations 的更多高级功能。例如,您无法让与组织集成的其他 Amazon 服务在组织内的所有账户中运作,也不能使用策略来限制不同账户中的用户和角色可以执行的操作。要使用高级 Amazon Organizations 功能,您必须启用组织中的所有功能。
-
- 服务控制策略 (SCP)
-
一个策略,用于指定 SCP 所影响账户中的用户和角色可以使用的服务和操作。SCP 类似于 IAM 权限策略,不同的是前者不授予任何权限。相反,SCP 指定组织、组织单位 (OU) 或账户的最大权限数。在将 SCP 附加到组织根或 OU 时,SCP 限制成员账户中实体的权限。
- 允许列表与拒绝列表
-
允许列表和拒绝列表是您应用 SCP 以筛选可供账户使用的权限时的补充策略。
-
允许列表策略 – 您明确指定允许的访问权限。隐式阻止所有其他访问权。默认情况下,Amazon Organizations 将名为
FullAWSAccess的 Amazon 托管策略附加到所有根、OU 和账户。这样有助于确保在您构建您的组织时,除非您希望,否则不会阻止任何内容。换句话说,默认情况下将允许所有权限。当您准备限制权限时,您需要将FullAWSAccess策略替换为仅允许限制性更强的所需权限集的策略。然后,受影响账户中的用户和角色只能使用该级别的访问权限,即使它们的 IAM policy 允许所有操作也是如此。如果您在根上替换默认策略,则组织中的所有账户都受限制规则的影响。您不能在层次结构中的较低级别重新添加权限,因为 SCP 永远不会授予权限;它只筛选权限。 -
拒绝列表策略 – 您明确指定不允许的访问权限。允许所有其他访问权。在这种情况下,除非明确阻止,否则允许所有权限。这是 Amazon Organizations 的默认行为。默认情况下,Amazon Organizations 将名为
FullAWSAccess的 Amazon 托管策略附加到所有根、OU 和账户。这样允许任何账户访问任何服务或操作,没有 Amazon Organizations 施加的限制。与上述允许列表技术不同,使用拒绝列表时,您会保留默认FullAWSAccess策略(允许“全部”)。但是,您可以附加额外的策略,明确拒绝 访问不需要的服务和操作。与使用 IAM 权限策略一样,显式拒绝服务操作将覆盖该操作的任何允许规则。
-
- 人工智能(AI)服务选择退出政策
-
一种策略,可帮助您标准化您组织中的所有账户的 Amazon AI 服务的选择退出设置。某些 Amazon AI 服务可以存储和使用通过这些服务处理的客户内容,以开发和持续改进 Amazon AI 服务和技术。作为Amazon客户,您可以使用 AI 服务选择退出策略选择退出存储或使用您的内容以这一服务,以改进服务。
- 备份策略
-
此策略可帮助您将资源标准化,并为组织中的所有账户的资源实施备份策略。在备份策略中,您可以为资源配置和部署备份计划。
- 标签策略
-
策略的一种类型,可帮助您在组织中所有账户内的资源中标准化标签。在标签策略中,您可以为特定资源指定标记规则。