本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 什么是 Amazon Organizations？
<a name="orgs_introduction"></a>

**在扩展 Amazon 资源时集中管理您的环境**

Amazon Organizations 随着 Amazon 资源的增长和扩展，可以帮助你集中管理和治理环境。通过使用 Organizations，您可以创建账户并分配资源，对账户进行分组以组织工作流，应用策略以满足治理的需要，并通过对所有账户使用统一的付款方式来简化账单。

Organizations 与其他组织集成， Amazon Web Services 服务 因此您可以定义中央配置、安全机制、审计要求以及组织中不同账户的资源共享。有关更多信息，请参阅 [与其他 Amazon Organizations 人一起使用 Amazon Web Services 服务](orgs_integrate_services.md)。

下图展示了有关如何使用 Amazon Organizations的高级别说明：
+ 添加账户
+ 账户分组
+ 应用策略
+ 启用 Amazon Web Services 服务。

![\[此图像显示了 Amazon Organizations 工作原理：添加帐户、组帐户、应用策略和启用 Amazon Web Services 服务。\]](http://docs.amazonaws.cn/organizations/latest/userguide/images/organizations-how-it-works.png)


**Topics**
+ [功能](#features)
+ [使用案例](#use-cases)
+ [术语和概念](orgs_getting-started_concepts.md)
+ [配额和服务限制](orgs_reference_limits.md)
+ [区域支持](region-support.md)
+ [计费和定价](pricing.md)
+ [支持和反馈](support-and-feedback.md)

## 的功能 Amazon Organizations
<a name="features"></a>

Amazon Organizations 提供以下功能：

**管理你的 Amazon Web Services 账户**  
Amazon Web Services 账户 是权限、安全性、成本和工作负载的自然界限。随着云环境的扩展，一个建议的最佳做法是使用多账户环境。您可以使用 Amazon Command Line Interface (Amazon CLI)、或，以编程方式创建新账户 SDKs，并使用集中为这些账户配置推荐的资源和权限 APIs，从而简化账户的[Amazon CloudFormation StackSets](https://docs.amazonaws.cn/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)创建。

**定义和管理组织**  
创建新帐户时，可以将其分组为组织单位 (OUs)，或者为单个应用程序或服务提供服务的帐户组。应用标签策略以对组织中的资源进行分类或跟踪，并为用户或应用程序提供基于属性的访问控制。此外，您可以将支持的责任委托 Amazon Web Services 服务 给账户，以便用户可以代表您的组织对其进行管理。

**保护和监控账户**  
您可以集中为安全团队提供工具和访问权限，使其能够代表组织管理安全需求。例如，您可以跨账户提供只读安全访问权限，使用 [Amazon GuardDuty](https://docs.amazonaws.cn/guardduty/latest/ug/what-is-guardduty.html) 检测和缓解威胁，使用 IA [M Access Analyzer 查看对资源的意外访问](https://docs.amazonaws.cn/IAM/latest/UserGuide/what-is-access-analyzer.html)，使用 A [mazon](https://docs.amazonaws.cn/macie/latest/user/what-is-macie.html) Macie 保护敏感数据。

**控制访问和权限**  
设置 [Amazon IAM Identity Center](https://docs.amazonaws.cn/singlesignon/latest/userguide/what-is.html) 来提供使用活动目录访问 Amazon Web Services 账户 和资源的权限，并根据单独的工作角色自定义权限。您也可以将[组织策略](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies.html)应用于用户、账户或 OUs。例如，[服务控制策略 (SCPs)](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_scps.html) 使您能够控制对组织内 Amazon 资源、服务和区域的访问权限。[资源控制策略 (RCPs)](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_rcps.html) 使您能够集中防止意外使用您的 Amazon 资源。[聊天应用程序政策](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_chatbot.html)让您能够控制聊天应用程序（例如 Slack 和 Microsoft Teams）对组织账户的访问权限。

**跨账户共享资源**  
您可以使用 [Amazon Resource Access Manager (Amazon RAM)](https://docs.amazonaws.cn/ram/latest/userguide/what-is.html) 在组织内共享 Amazon 资源。例如，您可以一次创建 [Amazon Virtual Private Cloud（Amazon VPC）](https://docs.amazonaws.cn/vpc/latest/userguide/what-is-amazon-vpc.html)子网并在整个组织共享。您还可以使用 [Amazon License Manager](https://docs.amazonaws.cn/license-manager/latest/userguide/license-manager.html) 集中同意软件许可，并使用 [Amazon Service Catalog](https://docs.amazonaws.cn/servicecatalog/latest/adminguide/introduction.html) 跨账户共享 IT 服务和自定义产品目录。

**审计环境是否合规**  
您可以跨账户激活 [Amazon CloudTrail](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)，这将创建云环境中所有活动的日志，成员账户无法关闭或修改这些日志。此外，您可以设置策略以按照您指定的节奏强制执行备份 [Amazon Backup](https://docs.amazonaws.cn/aws-backup/latest/devguide/whatisbackup.html)，或者为跨账户和的资源定义推荐 Amazon Web Services 区域 的[Amazon Config](https://docs.amazonaws.cn/config/latest/developerguide/WhatIsConfig.html)配置设置。

**集中管理账单和成本**  
Organizations 提供了统一的整合账单。此外，您可以使用 [Amazon Cost Explorer](https://docs.amazonaws.cn/cost-management/latest/userguide/ce-reports.html) 跨账户查看资源使用情况并跟踪成本，以及使用 [Amazon Compute Optimizer](https://docs.amazonaws.cn/managedservices/latest/userguide/compute-optimizer.html) 优化计算资源的使用情况。

## 的用例 Amazon Organizations
<a name="use-cases"></a>

以下是一些用例 Amazon Organizations：

**自动创建工作负载 Amazon Web Services 账户 并对其进行分类**  
您可以自动创建 Amazon Web Services 账户 以快速启动新的工作负载。将账户添加到用于即时应用安全策略、非接触式基础设施部署和审计的用户定义组。创建单独的群组来对开发和生产账户进行分类，并使用它[Amazon CloudFormation StackSets](https://docs.amazonaws.cn/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)为每个群组提供服务和权限。

**定义和强制实施审计和合规策略**  
您可以应用服务控制策略 (SCPs) 来确保您的用户仅执行符合您的安全和合规性要求的操作。使用 [Amazon CloudTrail](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 创建整个组织所执行所有操作的集中日志。跨账户和 Amazon Web Services 区域 使用查看和强制执行标准资源配置[Amazon Config](https://docs.amazonaws.cn/config/latest/developerguide/WhatIsConfig.html)。使用 [Amazon Backup](https://docs.amazonaws.cn/aws-backup/latest/devguide/whatisbackup.html) 自动应用常规备份。[Amazon Control Tower](https://docs.amazonaws.cn/controltower/latest/userguide/what-is-control-tower.html)用于为您的 Amazon 工作负载应用预打包的安全性、运营和合规性监管规则。

**为安全团队提供工具和访问权限，同时鼓励开发**  
创建安全组并为其提供对所有资源的只读访问权限，从而识别和缓解安全问题。您可以允许该小组管理 [Amazon](https://docs.amazonaws.cn/guardduty/latest/ug/what-is-guardduty.html)， GuardDuty以便他们能够主动监控和缓解对您的工作负载的威胁，并允许 [IAM Access Analyzer](https://docs.amazonaws.cn/IAM/latest/UserGuide/what-is-access-analyzer.html) 快速识别对您的资源的意外访问。

**跨账户共享通用资源**  
Organizations 可让您轻松跨账户共享关键的中央资源。例如，您可以通过共享中央 [Amazon Directory Service for Microsoft Active Directory](https://docs.amazonaws.cn/directoryservice/latest/admin-guide/what_is.html)，来让应用程序可以访问您的中央身份存储。

**跨账户共享关键的中央资源**  
将 [Amazon Directory Service for Microsoft Active Directory](https://docs.amazonaws.cn/directoryservice/latest/admin-guide/what_is.html) 作为应用程序的中央身份存储共享。使用 [Amazon Service Catalog](https://docs.amazonaws.cn/servicecatalog/latest/adminguide/introduction.html) 在指定账户中共享 IT 服务，从而让用户可以快速发现和部署经批准的服务。通过集中定义一次应用程序资源，然后使用 [Amazon Resource Access Manager （Amazon RAM）](https://docs.amazonaws.cn/ram/latest/userguide/what-is.html) 在组织中共享这些资源，从而确保在您的 [Amazon Virtual Private Cloud（Amazon VPC）](https://docs.amazonaws.cn/vpc/latest/userguide/what-is-amazon-vpc.html)子网上创建这些资源。