什么是 Amazon Organizations? - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是 Amazon Organizations?

在扩展 Amazon 资源时集中管理您的环境

Amazon Organizations 随着 Amazon 资源的增长和扩展,可以帮助你集中管理和治理环境。通过使用 Organizations,您可以创建账户并分配资源,对账户进行分组以组织工作流,应用策略以满足治理的需要,并通过对所有账户使用统一的付款方式来简化账单。

Organizations 与其他组织集成, Amazon Web Services 服务 因此您可以定义中央配置、安全机制、审计要求以及组织中不同账户的资源共享。有关更多信息,请参阅 与其他 Amazon Organizations 人一起使用 Amazon Web Services 服务

下图展示了有关如何使用 Amazon Organizations的高级别说明:

  • 添加账户

  • 账户分组

  • 应用策略

  • 启用 Amazon Web Services 服务。

此图像显示了 Amazon Organizations 工作原理:添加帐户、组帐户、应用策略和启用 Amazon Web Services 服务。

的功能 Amazon Organizations

Amazon Organizations 提供以下功能:

管理你的 Amazon Web Services 账户

Amazon Web Services 账户 是权限、安全性、成本和工作负载的自然界限。随着云环境的扩展,一个建议的最佳做法是使用多账户环境。您可以使用 Amazon Command Line Interface (Amazon CLI)、或,以编程方式创建新账户 SDKs,并使用集中为这些账户配置推荐的资源和权限 APIs,从而简化账户的Amazon CloudFormation StackSets创建。

定义和管理组织

创建新帐户时,可以将其分组为组织单位 (OUs),或者为单个应用程序或服务提供服务的帐户组。应用标签策略以对组织中的资源进行分类或跟踪,并为用户或应用程序提供基于属性的访问控制。此外,您可以将支持的责任委托 Amazon Web Services 服务 给账户,以便用户可以代表您的组织对其进行管理。

保护和监控账户

您可以集中为安全团队提供工具和访问权限,使其能够代表组织管理安全需求。例如,您可以跨账户提供只读安全访问权限,使用 Amazon GuardDuty 检测和缓解威胁,使用 IA M Access Analyzer 查看对资源的意外访问,使用 A mazon Macie 保护敏感数据。

控制访问和权限

设置 Amazon IAM Identity Center 来提供使用活动目录访问 Amazon Web Services 账户 和资源的权限,并根据单独的工作角色自定义权限。您也可以将组织策略应用于用户、账户或 OUs。例如,服务控制策略 (SCPs) 使您能够控制对组织内 Amazon 资源、服务和区域的访问权限。资源控制策略 (RCPs) 使您能够集中防止意外使用您的 Amazon 资源。聊天机器人策略使您可以控制聊天应用程序(例如 Slack 和 Microsoft Teams)对组织账户的访问权限。

跨账户共享资源

您可以使用 Amazon Resource Access Manager (Amazon RAM) 在组织内共享 Amazon 资源。例如,您可以一次创建 Amazon Virtual Private Cloud(Amazon VPC)子网并在整个组织共享。您还可以使用 Amazon License Manager 集中同意软件许可,并使用 Amazon Service Catalog 跨账户共享 IT 服务和自定义产品目录。

审计环境是否合规

您可以跨账户激活 Amazon CloudTrail,这将创建云环境中所有活动的日志,成员账户无法关闭或修改这些日志。此外,您可以设置策略以按照您指定的节奏强制执行备份 Amazon Backup,或者为跨账户和的资源定义推荐 Amazon Web Services 区域 的Amazon Config配置设置。

集中管理账单和成本

Organizations 提供了统一的整合账单。此外,您可以使用 Amazon Cost Explorer 跨账户查看资源使用情况并跟踪成本,以及使用 Amazon Compute Optimizer 优化计算资源的使用情况。

的用例 Amazon Organizations

以下是一些用例 Amazon Organizations:

自动创建工作负载 Amazon Web Services 账户 并对其进行分类

您可以自动创建 Amazon Web Services 账户 以快速启动新的工作负载。将账户添加到用于即时应用安全策略、非接触式基础设施部署和审计的用户定义组。创建单独的群组来对开发和生产账户进行分类,并使用它Amazon CloudFormation StackSets为每个群组提供服务和权限。

定义和强制实施审计和合规策略

您可以应用服务控制策略 (SCPs) 来确保您的用户仅执行符合您的安全和合规性要求的操作。使用 Amazon CloudTrail 创建整个组织所执行所有操作的集中日志。跨账户和 Amazon Web Services 区域 使用查看和强制执行标准资源配置Amazon Config。使用 Amazon Backup 自动应用常规备份。Amazon Control Tower用于为您的 Amazon 工作负载应用预打包的安全性、运营和合规性监管规则。

为安全团队提供工具和访问权限,同时鼓励开发

创建安全组并为其提供对所有资源的只读访问权限,从而识别和缓解安全问题。您可以允许该小组管理 Amazon, GuardDuty以便他们能够主动监控和缓解对您的工作负载的威胁,并允许 IAM Access Analyzer 快速识别对您的资源的意外访问。

跨账户共享通用资源

Organizations 可让您轻松跨账户共享关键的中央资源。例如,您可以通过共享中央 Amazon Directory Service for Microsoft Active Directory,来让应用程序可以访问您的中央身份存储。

跨账户共享关键的中央资源

Amazon Directory Service for Microsoft Active Directory 作为应用程序的中央身份存储共享。使用 Amazon Service Catalog 在指定账户中共享 IT 服务,从而让用户可以快速发现和部署经批准的服务。通过集中定义一次应用程序资源,然后使用 Amazon Resource Access Manager (Amazon RAM) 在组织中共享这些资源,从而确保在您的 Amazon Virtual Private Cloud(Amazon VPC)子网上创建这些资源。