什么是 Amazon Organizations? - Amazon Organizations
特征使用案例
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是 Amazon Organizations?

随着 Amazon 资源的扩展集中管理环境

Amazon Organizations 有助于您随着 Amazon 资源的增长和扩展,集中管理和监管环境。通过使用 Organizations,您可以创建账户并分配资源,对账户进行分组以组织工作流,应用策略以满足治理的需要,并通过对所有账户使用统一的付款方式来简化账单。

Organizations 可与其他 Amazon Web Services 服务集成,从而让您能够定义组织中各种账户的集中配置、安全机制、审计要求和资源共享。有关更多信息,请参阅 将 Amazon Organizations 与其他 Amazon Web Services 服务结合使用

下图展示了有关如何使用 Amazon Organizations 的高级别说明:

  • 添加账户

  • 账户分组

  • 应用策略

  • Enable Amazon Web Services 服务。

该图展示了 Amazon Organizations 的工作原理:添加账户、账户分组、应用策略和启用 Amazon Web Services 服务。
主题

Amazon Organizations 的功能

Amazon Organizations 提供以下功能:

管理 Amazon Web Services 账户

Amazon Web Services 账户 是权限、安全性、成本和工作负载的自然边界。随着云环境的扩展,一个建议的最佳做法是使用多账户环境。您可以使用 Amazon Command Line Interface(Amazon CLI)、SDK 或 API 以编程方式创建新账户,并使用 Amazon CloudFormation StackSets 为这些账户集中配置推荐的资源和权限,从而简化账户的创建。

定义和管理组织

创建新账户时,可以将其分组为若干组织单位(OU),即用于服务单个应用程序或服务的一组账户。应用标签策略以对组织中的资源进行分类或跟踪,并为用户或应用程序提供基于属性的访问控制。此外,您可以将有关受支持的 Amazon Web Services 服务的责任委派给账户,以便用户可以代表您的组织对其进行管理。

保护和监控账户

您可以集中为安全团队提供工具和访问权限,使其能够代表组织管理安全需求。例如,您可以提供只读跨账户安全访问权限,使用 Amazon GuardDuty 检测和缓解威胁,使用 IAM Access Analyzer 检查对资源的意外访问,以及使用 Amazon Macie 保护敏感数据。

控制访问和权限

设置 Amazon IAM Identity Center 来提供使用活动目录访问 Amazon Web Services 账户和资源的权限,并根据单独的工作角色自定义权限。您还可以将组织策略应用于用户、账户或 OU。例如,服务控制策略(SCP)使您能够控制对组织中 Amazon 资源、服务和区域的访问权限。资源控制策略(RCP)让您能够集中防止意外使用 Amazon 资源。聊天应用程序政策让您能够控制聊天应用程序(例如 Slack 和 Microsoft Teams)对组织账户的访问权限。

跨账户共享资源

您可以使用 Amazon Resource Access Manager(Amazon RAM) 在组织内共享 Amazon 资源。例如,您可以一次创建 Amazon Virtual Private Cloud(Amazon VPC)子网并在整个组织共享。您还可以使用 Amazon License Manager 集中同意软件许可,并使用 Amazon Service Catalog 跨账户共享 IT 服务和自定义产品目录。

审计环境是否合规

您可以跨账户激活 Amazon CloudTrail,这将创建云环境中所有活动的日志,成员账户无法关闭或修改这些日志。此外,您可以使用 Amazon Backup 设置策略以按照您指定的节奏强制执行备份,或者使用 Amazon Config 跨账户和 Amazon Web Services 区域 资源定义推荐的配置设置。

集中管理账单和成本

Organizations 提供了统一的整合账单。此外,您可以使用 Amazon Cost Explorer 跨账户查看资源使用情况并跟踪成本,以及使用 Amazon Compute Optimizer 优化计算资源的使用情况。

Amazon Organizations 的使用案例

以下是 Amazon Organizations 的一些应用场景:

自动创建 Amazon Web Services 账户并对工作负载进行分类

您可以自动创建 Amazon Web Services 账户以快速启动新的工作负载。将账户添加到用于即时应用安全策略、非接触式基础设施部署和审计的用户定义组。创建单独的组来进行开发和生产账户分类,以及使用 Amazon CloudFormation StackSets 为每个组预置服务和权限。

定义和强制实施审计和合规策略

您可以应用服务控制策略(SCP)来确保用户仅执行符合安全与合规要求的操作。使用 Amazon CloudTrail 创建整个组织所执行所有操作的集中日志。使用 Amazon Config 跨账户和 Amazon Web Services 区域查看和强制实施标准资源配置。使用 Amazon Backup 自动应用常规备份。使用 Amazon Control Tower 为您的 Amazon 工作负载应用预打包的安全性、运营和合规性治理规则。

为安全团队提供工具和访问权限,同时鼓励开发

创建安全组并为其提供对所有资源的只读访问权限,从而识别和缓解安全问题。您可以允许该组来管理 Amazon GuardDuty,以便主动监控和缓解对工作负载的威胁,以及允许 IAM Access Analyzer 快速识别对资源的意外访问。

跨账户共享通用资源

Organizations 可让您轻松跨账户共享关键的中央资源。例如,您可以通过共享中央 Amazon Directory Service for Microsoft Active Directory,来让应用程序可以访问您的中央身份存储。

跨账户共享关键的中央资源

Amazon Directory Service for Microsoft Active Directory 作为应用程序的中央身份存储共享。使用 Amazon Service Catalog 在指定账户中共享 IT 服务,从而让用户可以快速发现和部署经批准的服务。通过集中定义一次应用程序资源,然后使用 Amazon Resource Access Manager(Amazon RAM) 在组织中共享这些资源,从而确保在您的 Amazon Virtual Private Cloud(Amazon VPC)子网上创建这些资源。