什么是 Amazon Organizations? - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是 Amazon Organizations?

Amazon Organizations 是一项账户管理服务,使您能够将多个Amazon Web Services 账户整合到您创建并集中管理的组织中。Amazon Organizations 包含账户管理和整合账单功能,可利用这些功能更好地满足企业的预算、安全性和合规性需求。作为组织的管理员,您可以在组织中创建账户并邀请现有账户加入组织。

本用户指南定义 Amazon Organizations 的关键概念、提供 教程并说明了如何创建和管理组织

Amazon Organizations 功能

Amazon Organizations 提供以下功能:

集中管理您的所有 Amazon Web Services 账户

您可以将您的现有账户并入组织中,以便集中管理这些账户。您可以创建自动成为组织的一部分的账户,并且您可以邀请其他账户加入您的组织。您也可以附加将影响您的部分或所有账户的策略。

所有成员账户的整合账单

整合账单是 Amazon Organizations 的一项功能。您可以使用自己所属组织的管理账户,来整合所有成员账户,并为成员账户进行支付。在整合账单中,管理账户还可以访问其组织中成员账户的账单信息、账户信息和账户活动。此信息可用于诸如 Cost Explorer 之类的服务,这些服务可以帮助管理账户提高其组织的成本性能。

对账户进行分层分组以满足预算、安全性或合规性需求

您可以将您的账户分组到组织单元 (OU) 中并将不同的访问策略附加到每个 OU。例如,如果您的账户必须仅访问满足特定法规要求的 Amazon 服务,您可以将这些账户放入一个 OU 中。然后,您可以将策略附加到该 OU,这将阻止访问未满足这些法规要求的服务。您可以将 OU 嵌套在其他 OU 内 (深度为 5 个分层),以便灵活地构建账户组的结构。

集中控制每个账户可访问的 Amazon 服务和 API 操作的策略

作为组织管理账户的管理员,您可以使用服务控制策略(SCP)指定组织中成员账户的最大权限数。在 SCP 中,您可以限制每个成员账户中的用户和角色可以访问的 Amazon 服务、资源和各个 API 操作。您还可以定义有关何时限制对 Amazon 服务、资源和 API 操作的访问的条件。这些限制甚至会覆盖组织内的成员账户的管理员。当 Amazon Organizations 阻止对某个成员账户对服务、资源或 API 操作的访问时,该账户中的用户或角色将无法访问它。即使成员账户的管理员在 IAM 策略中明确授予此类权限,此阻止仍然有效。

有关更多信息,请参阅服务控制策略 (SCP)

在组织账户中跨资源标准化标签的策略

您可以使用标签策略来维护一致的标签,包括标签键和标签值的首选大小写处理。

有关更多信息,请参阅标签策略

控制 Amazon 人工智能 (AI) 和机器学习服务如何收集和存储数据的策略。

您可以使用 AI 服务选择退出策略来选择退出任何您不希望使用的 Amazon AI 服务的数据收集和存储服务。

有关更多信息,请参阅AI 服务选择退出策略

为组织账户中的资源配置自动备份的策略

您可以使用备份策略为所有组织账户中的资源配置和自动应用 Amazon Backup 计划。

有关更多信息,请参阅备份策略

针对 Amazon Identity and Access Management (IAM) 的集成和支持

IAM 提供对单个账户中的用户和角色的精细控制。Amazon Organizations 通过使您能够控制一个账户或一组账户中的哪些用户和角色可执行哪些操作来扩展对账户级别的控制。生成的权限是账户级别的 Amazon Organizations 允许的内容的逻辑交集,以及 IAM 在该账户内的用户或角色级别明确授予的权限。换言之,用户只能访问 Amazon Organizations 策略和 IAM 策略允许的内容。如果任一策略阻止某个操作,用户将无法访问该操作。

与其他 Amazon 服务集成

您可以将 Amazon Organizations 中提供的多账户管理服务与选定 Amazon 服务结合使用,以在作为组织成员的所有账户上执行任务。有关服务以及在组织范围级别使用每项服务的好处的列表,请参阅Amazon 可以与之配合使用的服务 Amazon Organizations

当您启用某个Amazon服务代表您执行组织成员账户中的任务时,Amazon Organizations 会在每个成员账户中为该服务创建一个 IAM 服务相关角色。此服务相关角色具有预定义的 IAM 权限,此类权限允许另一Amazon服务在您的组织及其账户中执行特定任务。为正常工作,组织中的所有账户都会自动具有服务相关角色。此角色允许 Amazon Organizations 服务创建您启用了信任访问权限的Amazon服务所需的服务相关角色。这些额外的服务相关角色已附加到 IAM 权限策略,这些策略指定服务能够仅执行您的配置选择所需的那些任务。有关更多信息,请参阅将 Amazon Organizations 与其它 Amazon 产品结合使用

全局访问

Amazon Organizations 是一项全局服务,具有单个终端节点,可从任何和所有Amazon Web Services 区域中工作。您无需明确地选择要在其中操作的区域。

具备最终一致性的数据复制

与许多其他 Amazon 服务一样,Amazon Organizations 具有最终一致性。Amazon Organizations 通过复制其区域内 Amazon 数据中心的多个服务器上的数据来实现高可用性。如果成功请求更改某些数据,则更改会提交并安全存储。但是,之后必须在多个服务器中复制此更改。有关更多信息,请参阅我所做的更改不总是立即可见

免费使用

Amazon Organizations 是为您的Amazon Web Services 账户账户提供的一项功能,无需额外收费。只有在您访问组织账户中其他Amazon服务时,才会向您收费。有关其他Amazon产品定价信息,请参阅亚马逊云科技定价页

Amazon Organizations 定价

不另外收取 Amazon Organizations 费用。您只需为成员账户中的用户和角色所使用的 Amazon 资源付费。例如,您需要支付成员账户中的用户或角色所使用的 Amazon EC2 实例的标准费用。有关其他Amazon服务定价的信息,请参阅Amazon定价

访问 Amazon Organizations

您可以通过以下任何方式使用 Amazon Organizations:

Amazon Web Services Management Console

Amazon Organizations 控制台是一个基于浏览器的界面,您可以用它来管理您的组织和您的 Amazon 资源。您可以使用控制台在组织中执行任何任务。

Amazon 命令行工具

使用 Amazon 命令行工具,您可在系统的命令行中发出命令以执行 Amazon Organizations 和 Amazon 任务。与使用控制台相比,使用命令行处理更快、更方便。如果要构建执行 Amazon 任务的脚本,命令行工具也会十分有用。

Amazon 提供两组命令行工具:

Amazon 开发工具包

Amazon 开发工具包包含各种编程语言和平台(例如,Java、Python、Ruby、.NET、iOS 和 Android)的库和示例代码。开发工具包执行以下类似任务:加密签署请求、管理错误以及自动重试请求。有关 Amazon 开发工具包的更多信息(包括如何下载和安装这些工具包),请参阅适用于 Amazon Web Services 的工具

Amazon Organizations HTTPS 查询 API

Amazon Organizations HTTPS 查询 API 使您能够以编程方式访问 Amazon Organizations 和 Amazon。HTTPS 查询 API 可让您直接向服务发布 HTTPS 请求。使用 HTTPS API 时,必须添加代码,才能使用您的凭证对请求进行数字化签名。有关更多信息,请参阅通过提出 HTTP 查询请求来调用 APIAmazon Organizations API 参考

对 Amazon Organizations 的支持和反馈

我们欢迎您提供反馈。您可以将评论发送到 feedback-awsorganizations@amazon.com。您也可以在 Amazon Organizations 支持论坛上发布反馈和问题。有关 Amazon 支持论坛的更多信息,请参阅论坛帮助

其他 Amazon 资源

  • Amazon培训和课程 – 指向基于角色的专业课程和自主进度动手实验室的链接,这些课程和实验室旨在帮助您增强Amazon技能并获得实践经验。

  • Amazon开发工具 – 指向开发工具和资源的链接,其中提供了文档、代码示例、发布说明和有助于您利用Amazon构建创新应用程序的其他信息。

  • Amazon Web Services Support Center – 用于创建和管理 Amazon Support 案例的中心。还包括指向其他有用资源的链接,如论坛、技术常见问题、服务运行状况和 Amazon Trusted Advisor。

  • Amazon Support – 提供有关 Amazon Support 的信息的主要网页,是一种一对一的快速响应支持渠道,可帮助您在云中构建和运行应用程序。

  • 联系我们 – 用于查询有关Amazon账单、账户、事件、滥用和其他问题的中央联系点。

  • Amazon 网站条款 – 有关我们的版权和商标、您的账户、许可、网站访问和其他主题的详细信息。