AWS Organizations 术语和概念 - AWS Organizations
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

AWS Organizations 术语和概念

为了帮助您开始使用 AWS Organizations,本主题介绍了一些主要概念。

下图显示了一个包含七个账户的基本组织,这些账户在根下分为四个组织部门 (OU)。此外,该组织还有一些策略附加到其中部分 OU 或者直接附加到账户。有关这些项目中每一项的描述,请参阅本主题中的定义。


            基本组织图
组织

您为合并 AWS 账户(以便可以将这些账户作为单个单位进行管理)而创建的实体。您可以使用 AWS Organizations 控制台集中查看和管理组织内您的所有账户。一个组织有一个主账户以及零个或多个成员账户。您可以以分层树状结构组织账户,将放在树顶部,组织部门嵌套在根下。每个账户都可以直接放在根中,也可以放在层次结构的其中一个 OU 中。一个组织的功能由您启用的功能集决定。

Root

您的组织的所有账户的父容器。如果您将一个策略附加到根,则它应用于组织中的所有组织部门 (OU)账户

注意

当前,您只能有一个根。AWS Organizations 将在您创建组织时自动为您创建此根。

组织部门 (OU)

账户的容器。OU 还可以包含其他 OU,这使您能够创建类似于倒置树的层次结构,根位于顶部,OU 分支向下延伸,结束于作为树叶的账户。当您将策略附加到层次结构中的其中一个节点时,策略会向下流动,影响该节点下的所有分支 (OU) 和树叶 (账户)。一个 OU 有且仅有一个父级,而目前每个账户都正好是一个 OU 的成员。

账户

包含您的 AWS 资源的标准 AWS 账户。您可以将策略附加到账户,以仅对这个账户进行控制。

组织中有两种类型的账户:一个指定为主账户的单个账户,以及成员账户。

  • 主账户是创建组织的账户。从组织的主账户中,您可以执行以下操作:

    • 在组织中创建账户

    • 邀请其他现有账户到组织中

    • 从组织中删除账户

    • 管理邀请

    • 将策略应用到组织内的实体(根、OU 或者账户)

    主账户具有付款人账户的责任,并负责支付成员账户产生的所有费用。您无法更改一个组织的主账户。

  • 属于组织的其他账户称为成员账户。一个账户一次只能是一个组织的成员。

邀请

邀请其他账户加入您的组织的过程。邀请只能由组织的主账户发出。邀请扩展到与受邀账户相关联的账户 ID 或电子邮件地址。受邀账户接受邀请后,它将成为组织中的成员账户。如果组织需要所有当前成员账户批准将仅支持整合账单功能更改为支持组织中的所有功能,也可以将邀请发送到所有成员。通过交换握手信息,对各个账户发出邀请。在 AWS Organizations 控制台中处理时,您可能看不到握手。但是,如果您使用 AWS CLI 或 AWS Organizations API,则必须直接处理握手。

握手

在双方之间交换信息的多步骤过程。它在 AWS Organizations 中的一项主要用途就是作为邀请的底层实施。握手消息在握手发起方和接收方之间传递并由双方进行响应。消息的传递方式可以确保双方总是知道当前状态是什么。将组织从仅支持整合账单功能更改为支持 AWS Organizations 提供的所有功能时,也可以使用握手。仅当您使用 AWS Organizations API 或命令行工具(如 AWS CLI)时,您通常需要直接与握手交互。

可用的功能集
  • 所有功能 – AWS Organizations 可用的默认功能集。它包括整合账单的所有功能,此外还包括高级功能,可让您更好地控制组织中的账户。您可以创建一个已启用所有功能的组织,或者您可以启用最初仅支持整合账单功能的组织中的所有功能。要启用所有功能,所有受邀成员账户都必须批准更改,方法为接受当主账户启动此过程时发送的邀请。

  • 整合账单 – 此功能集提供共享账单功能,但 包括 AWS Organizations 的更多高级功能。要使用高级 AWS Organizations 功能,您必须启用组织中的所有功能