Amazon Organizations 的概念和术语

所有功能是 Amazon Organizations 的默认可用功能集。您可以为整个组织设置集中策略和配置要求，在组织内创建自定义权限或功能，通过统一的账单管理和组织账户，以及代表组织将责任委派给其他账户。您还可以使用与其他 Amazon Web Services 服务的集成，来定义组织中所有成员账户的集中配置、安全机制、审计要求和资源共享。有关更多信息，请参阅 将 Amazon Organizations 与其他 Amazon Web Services 服务结合使用。

除管理功能外，所有功能模式还提供整合账单的所有功能。

整合账单功能集提供了共享账单功能，但不包括 Amazon Organizations 的更多高级功能。例如，您无法让与组织集成的其他 Amazon 服务在组织内的所有账户中运作，也不能使用策略来限制不同账户中的用户和角色可以执行的操作。

您可以为最初仅支持整合账单功能的组织启用所有功能。要启用所有功能，所有受邀成员账户都必须批准更改，方法为接受当管理账户启动此过程时发送的邀请。有关更多信息，请参阅 使用 Amazon Organizations 为组织启用所有功能。

组织是您可以按照树形层次结构来集中管理和组织的 Amazon Web Services 账户集合，其中根位于顶部，组织单元嵌套在根下。每个账户都可以直接放在根中，也可以放在层次结构的其中一个 OU 中。

每个组织都包括：

一个组织的功能由您启用的功能集决定。

管理根（根）包含在管理账户中，是组织 Amazon Web Services 账户的起点。根是位于组织层次结构中最顶层的容器。在此根下，您可以创建组织单位（OU）来对账户进行逻辑分组，并按最适合需求的层次结构来组织这些 OU。

如果您将管理策略附加到根，则会应用到组织中的所有组织单位（OU）和账户，包括组织的管理账户。

如果您对根应用授权策略（例如服务控制策略（SCP）），则该策略将应用于组织中的所有组织单位（OU）和成员账户。该策略不会应用到组织的管理账户。

组织单位（OU）是组织内的一组 Amazon Web Services 账户。OU 还可以包含其他 OU，从而让您能够创建层次结构。例如，您可以将属于同一部门的所有账户归入一个部门 OU。同样，您可以将所有运行安全服务的账户归入一个安全 OU。

当您需要对组织中的部分账户应用相同的控制时，OU 将非常实用。嵌套 OU 可实现更小的管理单元。例如，您可以为每个工作负载创建 OU，然后在每个工作负载 OU 中创建两个嵌套 OU，从而将生产工作负载与预生产工作负载分开。除直接分配给团队级 OU 的任何控制之外，这些 OU 还会继承父级组织单位的策略。包括根和在最小 OU 中创建的 Amazon Web Services 账户在内，层次结构的深度可以为五级。

Amazon Web Services 账户是 Amazon 资源的容器。您可以在 Amazon Web Services 账户中创建和管理 Amazon 资源，并且 Amazon Web Services 账户提供了访问权限和账单的管理功能。

使用多个 Amazon Web Services 账户是扩展环境的最佳做法，因为这可以提供成本的计费边界，隔离资源以确保安全，为个人和团队提供灵活性，此外还能适应新的流程。

组织中有两种类型的账户：一个指定为管理账户的单个账户，以及一个或多个成员账户。

管理账户是您用来创建组织的 Amazon Web Services 账户。从管理账户中可以执行以下操作：

管理账户是组织的最终所有者，对组织的安全、基础设施和财务策略拥有最终控制权。此账户具有付款人账户的角色，并负责支付其组织中账户产生的所有费用。

成员账户是一种 Amazon Web Services 账户，而管理账户是组织的一部分。作为组织的管理员，您可以在组织中创建账户并邀请现有账户加入组织。您还可以将策略应用到成员账户。

我们建议您将 管理账户及其用户和角色仅用于必须由该账户执行的任务。我们建议您将所有的 Amazon 资源存储在组织的其他成员账户中，而非保存在管理账户中。这是因为，Organizations 服务控制策略（SCP）等安全功能不会限制管理账户中的任何用户或角色。将资源与管理账户分离还可帮助您了解发票上的费用。在组织的管理账户中，您可以将一个或多个成员账户指定为委托管理员账户，以帮助您实施此建议。您可以使用两种类型的委托管理员：

邀请是组织的管理账户向另一个账户发出的请求。例如，请求独立账户加入组织的过程即为邀请。

邀请以握手的形式实施。在 Amazon Organizations 控制台中处理时，您可能看不到握手。但是，如果您使用 Amazon CLI 或 Amazon Organizations API，则必须直接处理握手。

握手是两个 Amazon 账户（发件人和收件人）之间的安全信息交换。

支持以下握手：

仅当您使用 Amazon Organizations API 或命令行工具（如 Amazon CLI）时，您通常需要直接与握手交互。

服务控制策略（SCP）是一种为组织中 IAM 用户和 IAM 角色的最大可用权限提供集中控制的策略。

这意味着 SCP 指定了以主体为中心的控制。SCP 针对成员账户中主体可用的最大权限创建权限护栏或设置限制。如果您想要对组织中的主体集中强制执行一致的访问控制，可以使用 SCP。

这可包括指定您的 IAM 用户和 IAM 角色可以访问哪些服务和资源，或指定可以发出请求的条件（例如，来自特定区域或网络）。有关更多信息，请参阅 SCP。

资源控制策略是一种为组织中资源的最大可用权限提供集中控制的策略。

这意味着 RCP 指定了以资源为中心的控制。RCP 针对成员账户中资源可用的最大权限创建权限护栏或设置限制。如果您想要对组织中的资源集中强制执行一致的访问控制，可以使用 RCP。

这可包括限制对资源的访问权限，这样只有属于您组织的身份才能访问这些资源，或者指定组织外部的身份在何种条件下可以访问您的资源。有关更多信息，请参阅 RCP。

声明性策略是一种允许您在整个组织中针对给定 Amazon Web Services 服务 大规模集中声明和强制执行所需配置的策略。一旦附加后，即使服务添加了新功能或 API，该配置都将始终保持不变。有关更多信息，请参阅声明性策略。

备份策略是一种允许您集中管理备份计划，并将备份计划应用于跨组织账户的 Amazon 资源的策略。有关更多信息，请参阅备份策略。

标签策略是一种允许您在组织账户中标准化附加到 Amazon 资源的标签的策略。有关更多信息，请参阅标签策略。

聊天应用程序政策是一种允许您控制聊天应用程序（例如 Slack 和 Microsoft Teams）对组织账户访问权限的策略。有关更多信息，请参阅聊天应用程序政策。

人工智能服务退出政策是一种允许您控制组织中所有账户的 Amazon 人工智能服务数据收集的策略。有关更多信息，请参阅人工智能服务退出政策。