什么是 Amazon Organizations? - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是 Amazon Organizations?

在扩展 Amazon 资源时集中管理您的环境

Amazon Organizations 随着 Amazon 资源的增长和扩展,可以帮助你集中管理和治理环境。使用 Organizations,您可以创建账户和分配资源,对账户进行分组以组织工作流程,应用监管政策,并通过对所有账户使用单一付款方式来简化计费。

Organizations 与其他组织集成, Amazon Web Services 服务 因此您可以定义中央配置、安全机制、审计要求以及组织中不同账户的资源共享。有关更多信息,请参阅 与其他 Amazon Organizations 人一起使用 Amazon Web Services 服务

下图简要说明了如何使用 Amazon Organizations:

  • 添加账户

  • 群组账户

  • 应用策略

  • 启用 Amazon Web Services 服务。

此图像显示了 Amazon Organizations 工作原理:添加帐户、组帐户、应用策略和启用 Amazon Web Services 服务。

的功能 Amazon Organizations

Amazon Organizations 提供以下功能:

管理你的 Amazon Web Services 账户

Amazon Web Services 账户 是权限、安全性、成本和工作负载的自然界限。在扩展云环境时,建议使用多账户环境是最佳实践。您可以使用 Amazon Command Line Interface (Amazon CLI)、或,以编程方式创建新账户SDKs,并使用集中为这些账户配置推荐的资源和权限APIs,从而简化账户的Amazon CloudFormation StackSets创建。

定义和管理您的组织

创建新帐户时,可以将其分组为组织单位 (OUs),或者为单个应用程序或服务提供服务的帐户组。应用标签策略对组织中的资源进行分类或跟踪,并为用户或应用程序提供基于属性的访问控制。此外,您可以将支持的责任委托 Amazon Web Services 服务 给账户,以便用户可以代表您的组织对其进行管理。

保护和监控您的账户

您可以集中为安全团队提供工具和访问权限,让他们代表组织管理安全需求。例如,您可以跨账户提供只读安全访问权限,使用 Amazon GuardDuty 检测和缓解威胁,使用 Access Analyzer 查看对资源的意外IAM访问,使用 Amazon Macie 保护敏感数据。

控制访问和权限

设置Amazon IAM Identity Center为使用您的活动目录提供访问权限 Amazon Web Services 账户 和资源,并根据单独的工作角色自定义权限。您也可以将组织策略应用于用户、账户或OUs。例如,服务控制策略 (SCPs) 使您能够控制对组织内 Amazon 资源、服务和区域的访问权限。聊天机器人策略使您可以控制聊天应用程序(例如 Slack 和 Microsoft Teams)对组织帐户的访问权限。

跨账号共享资源

您可以使用 Amazon Resource Access Manager (Amazon RAM) 在组织内共享 Amazon 资源。例如,您只需创建一次您的亚马逊虚拟私有云 (AmazonVPC) 子网,然后在整个组织中共享这些子网。您还可以与之集中同意软件许可 Amazon License Manager,并与之共享跨账户的 IT 服务和定制产品目录Amazon Service Catalog

审核您的环境是否合规

您可以Amazon CloudTrail跨账户激活,这将创建云环境中所有活动的日志,成员账户无法关闭或修改这些活动。此外,您可以设置策略以按照您指定的节奏强制执行备份 Amazon Backup,或者为跨账户和的资源定义推荐 Amazon Web Services 区域 的Amazon Config配置设置。

集中管理账单和成本

Organizations 为您提供一份整合账单。此外,您可以查看不同账户的资源使用情况 Amazon Cost Explorer,使用跟踪成本,并使用优化计算资源的使用情况Amazon Compute Optimizer

的用例 Amazon Organizations

以下是一些用例 Amazon Organizations:

自动创建工作负载 Amazon Web Services 账户 并对其进行分类

您可以自动创建 Amazon Web Services 账户 以快速启动新的工作负载。将账户添加到用户定义的群组中,以便即时应用安全策略、非接触式基础设施部署和审计。创建单独的群组来对开发和生产账户进行分类,并使用它Amazon CloudFormation StackSets为每个群组提供服务和权限。

定义和执行审计和合规政策

您可以应用服务控制策略 (SCPs) 来确保您的用户仅执行符合您的安全和合规性要求的操作。使用创建组织内执行的所有操作的中央日志Amazon CloudTrail。跨账户和 Amazon Web Services 区域 使用查看和强制执行标准资源配置Amazon Config。使用自动应用常规备份Amazon BackupAmazon Control Tower用于为您的 Amazon 工作负载应用预打包的安全性、运营和合规性监管规则。

为您的安全团队提供工具和访问权限,同时鼓励开发

创建安全组,为其提供对所有资源的只读访问权限,以识别和缓解安全问题。您可以允许该小组管理 Amazon, GuardDuty以便他们能够主动监控和缓解对您的工作负载的威胁,并允许 A IAMccess Analyzer 快速识别对您的资源的意外访问。

跨账户共享公共资源

借助 Organizations,您可以轻松地在各个客户之间共享重要的中央资源。例如,您可以共享您的中心,Amazon Directory Service for Microsoft Active Directory以便应用程序可以访问您的中央身份存储。

在您的账户之间共享重要的中央资源

将您的共享Amazon Directory Service for Microsoft Active Directory为应用程序的中央身份存储。Amazon Service Catalog用于在指定账户中共享 IT 服务,以便用户可以快速发现和部署经批准的服务。集中定义一次应用程序资源,然后使用 (VPC) 在整个组织中共享,从而确保在您的 Amazon Virtual Private Cloud Amazon Resource Access Manager (Amazon Amazon RAM) 子网上创建应用程序资源。