Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
管理组织单元 (OU)
您可以使用组织单元 (OU),将账户分组到一起,作为一个单元管理。这将极大简化您的账户管理。例如,您可以将基于策略的控制附加到 OU,该 OU 中的所有账户将自动继承策略。您可以在单个组织内创建多个 OU,也可以在其他 OU 中创建 OU。每个 OU 可以包含多个账户,您可以将账户从一个 OU 移动到另一个。但是,OU 名称必须在父 OU 或根内是唯一的。
组织中有一个根,在您首次设置组织时由 Amazon Organizations 为您创建。
要确定组织中账户的结构,您可以执行以下任务:
浏览根和 OU 层次结构
要在移动账户或附加策略时导航到不同的 OU 或根,可以使用默认“树”视图。
- Amazon Web Services Management Console
-
以“树”视图形式在组织中导航
-
登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。
-
在 Amazon Web Services 账户 页面中 Organization(组织)的顶部,选择 Hierarchy(层次结构)切换按钮[而不是 List(列表)]。
-
初始状态下,树结构只显示根及子 OU 和账户的第一级。要展开树结构以显示更深的层级,请选择任何父实体旁边展开图标(
)。要减少视觉混乱和折叠树结构的分支,请选择展开的父实体旁边的折叠图标(
)。
-
选择 OU 或根的名称以查看其详细信息并执行某些操作。或者,您可以选择名称旁的单选按钮,然后在 Actions (操作) 菜单中的实体上执行某些操作。
您还可以使用表格形式查看仅在您组织中的账户列表,而无需先导航到 OU 来找到它们。在此视图中,您无法看到任何 OU,也无法操纵附加到它们的策略。
- Amazon Web Services Management Console
-
创建 OU
登录到组织的管理账户时,您可以在组织的根下创建 OU。OU 最深可嵌套至 5 层。要创建 OU,请完成以下步骤。
如果此组织使用 Amazon Control Tower 进行管理,请使用 Amazon Control Tower 控制台或 API 创建 OU。如果您在 Organizations 中创建 OU,则该 OU 未向 Amazon Control Tower 注册。有关更多信息,请参阅《Amazon Control Tower 用户指南》中的引用 Amazon Control Tower 的外部资源。
- Amazon Web Services Management Console
-
创建 OU
-
登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。
-
导航到Amazon Web Services 账户页面。
控制台会显示根 OU 及其内容。首次访问根时,控制台在该顶级视图中显示所有Amazon Web Services 账户。如果您以前创建了 OU 并将账户移动到其中,则控制台仅显示顶级 OU 以及任何您尚未移动到 OU 中的账户。
-
(可选)如果要在现有 OU 内部创建 OU,请通过选择子 OU 的名称(而不是复选框)或在树视图中选择 OU 旁边的
来导航到该子 OU,在您看到所需内容后,请选择其名称。
-
在层次结构中选择了正确的父 OU 后,在 Actions (操作) 菜单上的 Organizational Unit (组织部门) 下,选择 Create new (新建)
-
在 Create organizational unit (创建组织部门) 对话框中,键入要创建的 OU 的名称。
-
(可选)添加一个或多个标签,方法是选择 Add tag (添加标签),然后输入一个键和可选的值。将值留空,设置为空字符串;它并非 null。您最多可以向 OU 附加 50 个标签。
-
最后,选择 Create organizational unit (创建组织部门)。
您的新 OU 显示在父级内部。现在,您可以将账户移动到此 OU 或者为其附加策略。
- Amazon CLI & Amazon SDKs
-
创建 OU
您可以使用以下命令之一创建 OU:
-
Amazon CLI:create-organizational-unit
要创建 OU,您必须首先找到要作为新 OU 父级的根或 OU 的身份。
要查找根目录的身份,请使用 list-roots 命令。要查找 OU 的身份,请使用 list-children 以导航到所需的 OU。
以下示例说明如何查找根目录的身份,然后在根目录下查找 OU 的身份。最后一个命令显示如何在找到的 OU 中创建新 OU。
$ aws organizations list-roots
{
"Roots": [
{
"Id": "r-a1b2",
"Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2",
"Name": "Root",
"PolicyTypes": []
}
]
}
$ aws organizations list-children \
--parent-id r-a1b2 \
--child-type ORGANIZATIONAL_UNIT
{
"Children": [
{
"Id": "ou-a1b2-f6g7h111",
"Type": "ORGANIZATIONAL_UNIT"
}
]
}
$ aws organizations create-organizational-unit \
--parent-id ou-a1b2-f6g7h111 \
--name New-Child-OU
{
"OrganizationalUnit": {
"Id": "ou-a1b2-f6g7h222",
"Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h222",
"Name": "New-Child-OU"
}
}
-
Amazon SDK:CreateOrganizationalUnit
重命名 OU
登录到组织的管理账户时,您可以重命名 OU。为此,请完成以下步骤。
要在 Amazon 组织的根中重命名 OU,您必须拥有以下权限:
- Amazon Web Services Management Console
-
- Amazon CLI & Amazon SDKs
-
重命名 OU
您可以使用以下命令之一重命名 OU:
-
Amazon CLI:update-organizational-unit
以下示例演示了如何重命名 OU。
$ aws organizations update-organizational-unit \
--organizational-unit-id ou-a1b2-f6g7h222 \
--name "Renamed-OU"
{
"OrganizationalUnit": {
"Id": "ou-a1b2-f6g7h222",
"Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h222",
"Name": "Renamed-OU"
}
}
-
Amazon SDK:UpdateOrganizationalUnit
编辑附加到 OU 的标签
登录到组织的管理账户后,您可以添加或删除附加到 OU 的标签。为此,请完成以下步骤。
要编辑附加到Amazon组织中根内的 OU 的标签,您必须拥有以下权限:
-
organizations:DescribeOrganization – 仅当使用 Organizations 控制台时才需要
-
organizations:DescribeOrganizationalUnit – 仅当使用 Organizations 控制台时才需要
-
organizations:TagResource
-
organizations:UntagResource
- Amazon Web Services Management Console
-
编辑附加到 OU 的标签
-
登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。
-
在 Amazon Web Services 账户 页面上,导航到要编辑其标签的 OU 并选择其名称。
-
在 OU 的详细信息页面上,选择 Tags (标签) 选项卡,然后选择 Manage tags (管理标签)。
-
您可以在此选项卡上执行以下操作:
-
编辑任何标签的值,方法是在旧标签上输入新值。您不能修改标签键。要更改键,您必须删除带有旧键的标签,然后添加使用新键的标签。
-
删除现有标签,方法是选择要重命名的标签旁边的 Remove (删除)。
-
添加新的标签键和值对。选择 Add tag (添加标签),然后在提供的框中输入新的键名称和可选值。如果您将 Value (值) 框留空,则值是空字符串;它并非 null。
-
在完成所有要进行的添加、删除和编辑操作之后,选择 Save changes (保存更改)。
- Amazon CLI & Amazon SDKs
-
编辑附加到 OU 的标签
您可以使用以下命令之一更改附加到 OU 的标签:
-
Amazon CLI:tag-resource 和 untag-resource
以下示例将标签 "Department"="12345" 附加到 OU。注意,Key 和 Value 区分大小写。
$ aws organizations tag-resource \
--resource-id ou-a1b2-f6g7h222 \
--tags Key=Department,Value=12345
如果成功,此命令不会产生任何输出。
以下示例从 OU 中删除 Department 标签。
$ aws organizations untag-resource \
--resource-id ou-a1b2-f6g7h222 \
--tag-keys Department
如果成功,此命令不会产生任何输出。
-
Amazon SDK:TagResource 和 UntagResource
将账户移动到 OU 或者在根和 OU 之间移动
登录到组织的管理账户时,您可以将组织中的账户从根移动到某个 OU,从一个 OU 移动到另一个,或者从 OU 中移动回根。将账户放入 OU 中可使其遵循附加到该父 OU 及其父链中一直到根的所有 OU 的策略。如果账户未在 OU 中,则该账户仅遵循直接附加到根的策略以及任何直接附加到账户上的策略。要移动账户,请完成以下步骤。
要将账户在 OU 层次结构中移动到新位置,您必须拥有以下权限:
- Amazon Web Services Management Console
-
将账户移动到 OU
-
登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。
-
在Amazon Web Services 账户页面上,找到要移动的一个或多个账户。您可以导航 OU 层次结构,或启用 View Amazon Web Services 账户 only (仅限查看亚马逊云科技账户) 来查看没有 OU 结构的账户的平面列表。如果您有很多账户,您可能需要在列表底部选择 Load more accounts in 'ou-name' (加载使用“OU 名称”的更多账户) 以查找要移动的所有账户。
-
选中要移动的每个账户名称旁的复选框
。
-
在 Actions (操作) 菜单中的 Amazon Web Services 账户 (亚马逊云科技账户) 下,选择 Move (移动)。
-
在 Move Amazon Web Services 账户 (移动亚马逊云科技账户) 对话框中,选择并导航到要将账户移动到的 OU 或根,然后选择 Move Amazon Web Services 账户 (移动亚马逊云科技账户)。
- Amazon CLI & Amazon SDKs
-
将账户移动到 OU
您可以使用以下命令之一移动账户:
删除 OU
登录到组织的管理账户时,您可以删除不再需要的任何 OU。
您必须先将所有账户移出 OU 和任意子 OU,然后再删除子 OU。
- Amazon Web Services Management Console
-
删除 OU
-
登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。
-
在Amazon Web Services 账户页面上,找到要删除的 OU,然后选中每个 OU 名称旁边的复选框
。
-
选择 Actions (操作),然后在 Organizational unit (组织部门) 中,选择 Delete (删除)。
-
要确认您要删除 OU,请输入 OU 的名称(如果您只选择删除一个)或单词“delete(删除)”(如果您选择删除多个),然后选择 Delete (删除)。
Amazon Organizations 将删除 OU 并将其从列表中删除。
- Amazon CLI & Amazon SDKs
-
删除 OU
您可以使用以下命令之一删除 OU:
