可与 Amazon Organizations 一起使用的 Amazon 服务
通过 Amazon Organizations,您可以将多个Amazon Web Services 账户合并到一个组织中,大规模地执行账户管理活动。合并账户可简化您使用其他 Amazon 服务的方式。您可以将 Amazon Organizations 中提供的多账户管理服务与精选 Amazon 服务结合使用,以在您组织的所有账户上执行任务。
下表列出了可与 Amazon Organizations 一起使用的 Amazon 服务,以及在组织范围级别使用每项服务的优势。
可信访问 – 您可以启用兼容的 Amazon 服务,来跨您组织中的所有 Amazon Web Services 账户执行操作。有关更多信息,请参阅将 Amazon Organizations 与其它 Amazon 产品结合使用。
Amazon 服务的委托管理员– 兼容的 Amazon 服务可以将组织中的 Amazon 成员账户注册为该组织的账户在该服务中的管理员。有关更多信息,请参阅 与 Organizations 配合使用的 Amazon 服务的委托管理员。
| Amazon 服务 | 与 Amazon Organizations 一起使用的优势 | 支持可信访问 | 支持委托管理员 |
|---|---|---|---|
|
管理组织的所有 Amazon Web Services 账户的详细信息和元数据。 |
您可以为组织内的所有账户创建、更新和删除备用联系人信息。 |
|
|
|
Amazon Application Migration Service (MGN) 借助 Amazon Application Migration Service,企业可以将大量物理、虚拟或云服务器直接迁移到 Amazon 云端,而不必担心兼容性、性能中断或割接时间过长等问题。 |
您可以管理跨多个账户的大规模迁移任务。 |
|
|
|
下载 Amazon 安全合规性报告,例如 ISO 和 PCI 报告。 |
您可以代表您组织内的所有账户接受协议。 |
|
|
|
自动化持续收集证据,以帮助您审核云服务的使用情况。 |
持续审计Amazon在组织中的多个账户中的使用情况,以简化您评估风险和合规性的方式。 |
|
|
|
管理和监控您组织中的所有账户的备份。 |
您可以为整个组织或组织部门 (OU) 中的账户组配置和管理备份计划。您可以集中监控所有账户的备份。 |
|
|
|
Amazon CloudFormation Stacksets 通过单个操作跨多个账户和区域创建、更新或删除堆栈。 |
管理账户或委托管理员账户中的用户可以创建具有服务托管权限的堆栈套,该堆栈套会将堆栈实例部署到您组织中的账户。 |
|
|
|
允许对您的账户进行监管、合规性检查、操作审核和风险审计。 |
管理账户或委托管理员账户中的用户可以创建组织跟踪或事件数据存储,记录组织中所有账户的所有事件。 |
|
|
|
实时监控您的 Amazon 资源以及您在 Amazon 上运行的应用程序。 |
您可以在组织中的所有账户之间启用所有 CloudWatch Events 的共享。 有关更多信息,请参阅《Amazon CloudWatch Events 用户指南》中的在Amazon Web Services 账户之间发送和接收事件。 |
|
|
|
获取 Amazon 计算优化建议。 |
您可以分析组织账户中的所有资源以获取优化建议。 有关更多信息,请参阅《Amazon Compute Optimizer 用户指南》中的 Compute Optimizer 支持的账户。 |
|
|
|
评估、审计和评价您的 Amazon 资源的配置。 |
您可以在组织范围内查看合规性状态。您可以使用 Amazon Config API 操作在组织中跨所有Amazon Web Services 账户来管理 Amazon Config 规则和一致性包。 您可以使用委托管理员账户聚合Amazon Organizations中组织所有成员账户中的资源配置和合规性数据。有关更多信息,请参阅 Amazon Config 开发人员指南中的注册委托管理员。 |
|
了解更多: |
|
设置和管理安全、合规的多账户Amazon环境。 |
您可以设置登录区(适用于您所有Amazon资源的多账户环境)。该环境包括一个组织和组织实体。您可以使用此环境对所有Amazon Web Services 账户实施合规性监管。 有关更多信息,请参阅《Amazon Control Tower 用户指南》中的 操作方法Amazon Control Tower和通过 Amazon Organizations 管理账户。 |
|
|
|
可从日志数据生成可视化,以分析、调查和快速识别安全结果或可疑活动的根本原因。 |
您可以将 Amazon Detective 与 Amazon Organizations 集成,以确保可以通过 Detective 行为图了解所有组织账户的活动。 |
|
|
|
可以分析操作数据以及应用程序指标和事件,以识别偏离正常操作模式的行为。当 DevOps Guru 检测到操作问题或风险时,会通知用户。 |
您可以与 Amazon Organizations 集成,以管理来自整个组织中所有账户的见解。您可以委托一位管理员来查看、排序和筛选来自所有账户的见解,以获取所有受监控的应用程序在组织范围内的运行状况。 |
|
|
|
在 Amazon 云中设置和运行目录,也可以将 Amazon 资源与现有本地 Microsoft Active Directory 连接。 |
您可以将 Amazon Directory Service 与 Amazon Organizations 集成,以实现跨一个区域中的多个账户和任何 VPC 的无缝目录共享。 |
|
|
|
跨账户和应用程序集中配置和管理 Web 应用程序防火墙规则。 |
您可以在组织中跨账户集中配置和管理 Amazon WAF 规则。 |
|
|
|
GuardDuty 是一项持续的安全监控服务,可以分析和处理来自各种数据源的信息。它使用威胁情报源和机器学习来标识您Amazon环境中意外的和未经授权的恶意活动。 |
您可以指定一个成员账户来查看和管理组织中所有账户的 GuardDuty。添加成员账户会自动为所选Amazon Web Services 区域中的这些账户启用 GuardDuty。您还可以自动为添加到组织的新账户激活 GuardDuty。 有关更多信息,请参阅《Amazon GuardDuty 用户指南》中的 GuardDuty 和 Organizations。 |
|
|
|
了解可能影响资源性能或Amazon服务可用性问题的事件。 |
您可以聚合组织中账户的 Amazon Health 事件。 |
|
|
|
Amazon Identity and Access Management 安全地控制对 Amazon 资源的访问权限。 |
您可以使用 IAM 中服务上次访问的数据,以帮助您更好地了解组织中的Amazon活动。您可以使用此数据来创建和更新服务控制策略 (SCP),将访问限制在仅您的组织账户所使用的 Amazon 服务。 有关示例,请参阅《IAM 用户指南》中的使用数据来细化组织部门的权限。 |
|
|
|
在您的Amazon环境中分析基于资源的策略,确定任何向信任区域外的委托人授予访问权限的策略。 |
您可以指定成员账户作为 IAM 访问分析器的管理员。 有关更多信息,请参阅《IAM 用户指南》中的启用访问分析器。 |
|
|
|
可以自动扫描 Amazon 工作负载是否存在漏洞,以发现驻留在 Amazon ECR 中的 Amazon EC2 实例和容器映像是否存在软件漏洞及意外网络暴露。 |
可以委托一位管理员来启用或禁用对成员账户的扫描、查看从整个组织汇总的结果数据、创建和管理禁止规则。 有关更多信息,请参阅《Amazon Inspector 用户指南》中的使用 Amazon Organizations 管理多个账户。 |
|
|
|
简化将软件许可证迁移到云中的过程。 |
您可以在整个组织中启用计算资源的跨账户发现。 |
|
|
|
使用机器学习发现您的业务关键型内容并对其进行分类,以帮助您满足数据安全和隐私要求。它会持续评估您存储在 Amazon S3 中的内容,并通知您潜在的问题。 |
您可以为您组织中的所有账户配置 Amazon Macie,以便从指定的 Macie 管理员账户跨所有账户获取 Amazon S3 中所有数据的统一视图。您可以将 Macie 配置为随着组织壮大而自动保护新账户中的资源。系统会提醒您修正整个组织中的 S3 存储桶中的策略错误配置。 |
|
|
|
Amazon Web Services Marketplace 一个精挑细选的数字化产品目录,您通过它可以轻松地查找、购买、部署和管理构建解决方案及运营业务所需的第三方软件、数据和服务。 |
您可以在组织的账户内共享Amazon Web Services Marketplace订阅和购买的许可证。 |
|
|
|
您可以跨 Amazon 账户、区域和本地位置集中管理 Amazon Cloud WAN 核心网络和 Amazon Transit Gateway 网络。 |
您可以跨组织中的多个 Amazon 账户,集中管理和监控您的全球网络以及中转网关和相关连接的资源。 |
|
|
|
Amazon Resource Access Manager 将您拥有的指定 Amazon 资源与其他账户共享。 |
您可以在组织内共享资源,而无需交换其他邀请。您可以共享的资源包括 Route 53 Resolver 规则、按需容量预留等。 有关共享容量预留的信息,请参阅适用于 Linux 实例的 Amazon EC2 用户指南或 适用于 Windows 实例的 Amazon EC2 用户指南。 有关可共享资源的列表,请参阅《Amazon RAM 用户指南》中的可共享资源。 |
|
|
|
在 Amazon 中查看安全状态,并检查环境是否符合安全行业标准和最佳实践。 |
您可以为组织的所有账户(包括添加新账户)自动启用 Security Hub。这扩大了 Security Hub 检查和调查结果的覆盖范围,从而可让您更准确地了解您的整体安全状况。 |
|
|
|
Amazon S3 Storage Lens 存储统计管理工具 通过切实可行的建议,您可以了解 Amazon S3 Storage 使用情况和活动指标。 |
配置 Amazon S3 Storage Lens,以便了解 Amazon S3 存储使用情况和活动趋势,以及组织中所有成员账户的建议。 |
|
|
|
Amazon Security Lake 可将来自云端、本地和自定义源的安全数据,集中到您账户中存储的数据湖中。 |
创建一个数据湖来收集账户中的日志和事件。 |
|
|
|
创建和管理获准在 Amazon 上使用的 IT 服务的目录。 |
您可以更轻松地跨账户共享产品组合和复制产品,而无需共享产品组合 ID。 |
|
|
|
从中央位置查看和管理您的服务配额(也称为限制)。 |
您可以创建一个配额请求模板,以在创建组织账户时自动请求提升配额。 |
|
|
|
为您的所有账户和云应用程序提供单一登录访问。 |
用户可使用其公司凭证登录 Amazon 访问门户,并访问向其分配的管理账户或成员账户中的资源。 |
|
|
|
启用您的 Amazon 资源的可见性和控制。 |
您可以使用 Systems Manager Explorer,跨组织中的所有Amazon Web Services 账户同步操作数据。 通过使用 Systems Manager Change Manager,您可以从委托管理员账户管理组织中所有成员账户的更改模板、批准和报告。 |
|
|
|
在组织账户中跨资源使用标准化标签。 |
您可以创建标签策略来定义特定资源和资源类型的标记规则,然后将这些策略附加到组织实体和账户,以强制执行这些规则。 |
|
|
|
Trusted Advisor 可检查您的Amazon环境,并在有可能节省开支、提高系统可用性和性能或弥补安全漏洞时为您提供建议。 |
为组织中的所有Amazon Web Services 账户运行 Trusted Advisor 检查。 |
|
|
|
Amazon Well-Architected Tool 可帮助您记录工作负载的状态并将其与最新的 Amazon 架构最佳做法进行比较。 |
让 Amazon WA Tool 和 Organizations 客户能够简化与组织的其他成员共享 Amazon WA Tool 资源的过程。 |
|
|
|
IPAM 是一项 VPC 功能,可让您更轻松地计划、跟踪和监控 Amazon 工作负载的 IP 地址。 |
监控整个组织的 IP 地址使用情况,并在成员账户之间共享 IP 地址池。 |
|
|
|
Amazon VPC Reachability Analyzer Reachability Analyzer 是一种配置分析工具,使您能够在虚拟私有云(VPC)中的源资源和目标资源之间执行连接测试。 |
跟踪组织中各个账户的路径。 |
|
|