本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
什么是 Amazon Organizations?
在扩展 Amazon 资源时集中管理您的环境
Amazon Organizations 随着 Amazon 资源的增长和扩展,可以帮助你集中管理和治理环境。使用 Organizations,您可以创建账户和分配资源,对账户进行分组以组织工作流程,应用监管政策,并通过对所有账户使用单一付款方式来简化计费。
Organizations 与其他组织集成, Amazon Web Services 服务 因此您可以定义中央配置、安全机制、审计要求以及组织中不同账户的资源共享。有关更多信息,请参阅 与其他 Amazon Organizations 人一起使用 Amazon Web Services 服务。
下图简要说明了如何使用 Amazon Organizations:
添加账户
群组账户
应用策略
启用 Amazon Web Services 服务。
主题
的功能 Amazon Organizations
Amazon Organizations 提供以下功能:
- 管理你的 Amazon Web Services 账户
-
Amazon Web Services 账户 是权限、安全性、成本和工作负载的自然界限。在扩展云环境时,建议使用多账户环境是最佳实践。您可以使用 Amazon Command Line Interface (Amazon CLI)、或,以编程方式创建新账户SDKs,并使用集中为这些账户配置推荐的资源和权限APIs,从而简化账户的Amazon CloudFormation StackSets创建。
- 定义和管理您的组织
-
创建新帐户时,可以将其分组为组织单位 (OUs),或者为单个应用程序或服务提供服务的帐户组。应用标签策略对组织中的资源进行分类或跟踪,并为用户或应用程序提供基于属性的访问控制。此外,您可以将支持的责任委托 Amazon Web Services 服务 给账户,以便用户可以代表您的组织对其进行管理。
- 保护和监控您的账户
-
您可以集中为安全团队提供工具和访问权限,让他们代表组织管理安全需求。例如,您可以跨账户提供只读安全访问权限,使用 Amazon GuardDuty 检测和缓解威胁,使用 Access Analyzer 查看对资源的意外IAM访问,使用 Amazon Macie 保护敏感数据。
- 控制访问和权限
-
设置Amazon IAM Identity Center为使用您的活动目录提供访问权限 Amazon Web Services 账户 和资源,并根据单独的工作角色自定义权限。您也可以将组织策略应用于用户、账户或OUs。例如,服务控制策略 (SCPs) 使您能够控制对组织内 Amazon 资源、服务和区域的访问权限。聊天机器人策略使您可以控制聊天应用程序(例如 Slack 和 Microsoft Teams)对组织帐户的访问权限。
- 跨账号共享资源
-
您可以使用 Amazon Resource Access Manager (Amazon RAM) 在组织内共享 Amazon 资源。例如,您只需创建一次您的亚马逊虚拟私有云 (AmazonVPC) 子网,然后在整个组织中共享这些子网。您还可以与之集中同意软件许可 Amazon License Manager,并与之共享跨账户的 IT 服务和定制产品目录Amazon Service Catalog。
- 审核您的环境是否合规
-
您可以Amazon CloudTrail跨账户激活,这将创建云环境中所有活动的日志,成员账户无法关闭或修改这些活动。此外,您可以设置策略以按照您指定的节奏强制执行备份 Amazon Backup,或者为跨账户和的资源定义推荐 Amazon Web Services 区域 的Amazon Config配置设置。
- 集中管理账单和成本
-
Organizations 为您提供一份整合账单。此外,您可以查看不同账户的资源使用情况 Amazon Cost Explorer,使用跟踪成本,并使用优化计算资源的使用情况Amazon Compute Optimizer。
的用例 Amazon Organizations
以下是一些用例 Amazon Organizations:
- 自动创建工作负载 Amazon Web Services 账户 并对其进行分类
-
您可以自动创建 Amazon Web Services 账户 以快速启动新的工作负载。将账户添加到用户定义的群组中,以便即时应用安全策略、非接触式基础设施部署和审计。创建单独的群组来对开发和生产账户进行分类,并使用它Amazon CloudFormation StackSets为每个群组提供服务和权限。
- 定义和执行审计和合规政策
-
您可以应用服务控制策略 (SCPs) 来确保您的用户仅执行符合您的安全和合规性要求的操作。使用创建组织内执行的所有操作的中央日志Amazon CloudTrail。跨账户和 Amazon Web Services 区域 使用查看和强制执行标准资源配置Amazon Config。使用自动应用常规备份Amazon Backup。Amazon Control Tower用于为您的 Amazon 工作负载应用预打包的安全性、运营和合规性监管规则。
- 为您的安全团队提供工具和访问权限,同时鼓励开发
-
创建安全组,为其提供对所有资源的只读访问权限,以识别和缓解安全问题。您可以允许该小组管理 Amazon, GuardDuty以便他们能够主动监控和缓解对您的工作负载的威胁,并允许 A IAMccess Analyzer 快速识别对您的资源的意外访问。
- 跨账户共享公共资源
-
借助 Organizations,您可以轻松地在各个客户之间共享重要的中央资源。例如,您可以共享您的中心,Amazon Directory Service for Microsoft Active Directory以便应用程序可以访问您的中央身份存储。
- 在您的账户之间共享重要的中央资源
-
将您的共享Amazon Directory Service for Microsoft Active Directory为应用程序的中央身份存储。Amazon Service Catalog用于在指定账户中共享 IT 服务,以便用户可以快速发现和部署经批准的服务。集中定义一次应用程序资源,然后使用 (VPC) 在整个组织中共享,从而确保在您的 Amazon Virtual Private Cloud Amazon Resource Access Manager (Amazon Amazon RAM) 子网上创建应用程序资源。