Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Terminologie und Konzepte für AWS Organizations
In diesem Thema werden einige der wichtigsten Konzepte für erläutert AWS Organizations.
Das folgende Diagramm zeigt eine Organisation, die aus fünf Konten besteht, die unter dem Stamm in vier Organisationseinheiten (OUs) unterteilt sind. Die Organisation verfügt außerdem über mehrere Richtlinien, die mit einigen Konten OUs oder direkt mit Konten verknüpft sind.
Eine Beschreibung der einzelnen Elemente finden Sie in den Definitionen in diesem Thema.
Themen
Verfügbare Featuresätze
- Alle Funktionen (empfohlen)
-
Alle Funktionen sind die Standardfunktionen, die für verfügbar sind AWS Organizations. Sie können zentrale Richtlinien und Konfigurationsanforderungen für eine gesamte Organisation festlegen, benutzerdefinierte Berechtigungen oder Funktionen innerhalb der Organisation einrichten, Ihre Konten unter einer einzigen Rechnung verwalten und organisieren und Verantwortlichkeiten im Namen der Organisation an andere Konten delegieren. Sie können auch Integrationen mit anderen verwenden, AWS-Services um zentrale Konfigurationen, Sicherheitsmechanismen, Prüfanforderungen und die gemeinsame Nutzung von Ressourcen für alle Mitgliedskonten in Ihrer Organisation zu definieren. Weitere Informationen finden Sie unter Verwendung AWS Organizations mit anderen AWS-Services.
Der Modus „Alle Funktionen“ bietet alle Funktionen der konsolidierten Fakturierung zusammen mit den administrativen Funktionen.
- Konsolidierte Fakturierung
-
Bei der konsolidierten Abrechnung handelt es sich um den Funktionsumfang, der Funktionen für die gemeinsame Abrechnung bereitstellt, jedoch nicht die erweiterten Funktionen von umfasst AWS Organizations. Sie können beispielsweise nicht zulassen, dass andere AWS Dienste in Ihre Organisation integriert werden, sodass sie für alle Konten funktionieren, oder Richtlinien verwenden, um einzuschränken, was Benutzer und Rollen in verschiedenen Konten tun können.
Sie können alle Funktionen für eine Organisation aktivieren, die ursprünglich nur die Funktionen für die konsolidierte Fakturierung unterstützt hat. Wenn Sie alle Funktionen aktivieren möchten, müssen alle eingeladen Mitgliedskonten die Änderung genehmigen und die Einladung annehmen, die bei der Initiierung des Prozesses durch das Verwaltungskonto gesendet wurde. Weitere Informationen finden Sie unter Aktivierung aller Funktionen für eine Organisation mit AWS Organizations.
Struktur der Organisation
- Organisation
-
Eine Organisation ist eine Sammlung von Elementen AWS-Konten, die Sie zentral verwalten und in einer hierarchischen, baumähnlichen Struktur organisieren können, mit einem Stamm an der Spitze und Organisationseinheiten, die unter dem Stamm verschachtelt sind. Jedes Konto kann sich direkt im Stammverzeichnis befinden oder einem der Konten in der OUs Hierarchie zugeordnet werden.
Jede Organisation besteht aus:
Ein Verwaltungskonto
Null oder mehr Mitgliedskonten
Keine oder mehr Organisationseinheiten (OUs)
Keine oder mehr Richtlinien.
Eine Organisation verfügt über die Funktionalität, die vom aktivierten Featuresatz bestimmt wird.
- Root
-
Ein Administratorstamm (Root) ist im Verwaltungskonto enthalten und ist der Ausgangspunkt für die Organisation Ihres AWS-Konten. Das Stammverzeichnis ist der oberste Container in der Hierarchie Ihrer Organisation. Unter diesem Stamm können Sie Organisationseinheiten (OUs) erstellen, um Ihre Konten logisch zu gruppieren und sie OUs in einer Hierarchie zu organisieren, die Ihren Anforderungen am besten entspricht.
Wenn Sie eine Verwaltungsrichtlinie auf den Stamm anwenden, gilt diese für alle Organisationseinheiten (OUs) und Konten, einschließlich des Verwaltungskontos für die Organisation.
Wenn Sie eine Autorisierungsrichtlinie (z. B. eine Dienststeuerungsrichtlinie (SCP)) auf das Stammverzeichnis anwenden, gilt diese für alle Organisationseinheiten (OUs) und Mitgliedskonten in der Organisation. Sie gilt nicht für das Verwaltungskonto in der Organisation.
Anmerkung
Sie können nur einen Stamm haben. AWS Organizations erstellt automatisch den Stamm für Sie, wenn Sie eine Organisation erstellen.
- Organisationseinheit (OU)
-
Eine Organisationseinheit (OU) ist eine Gruppe von Personen AWS-Konteninnerhalb einer Organisation. Eine Organisationseinheit kann auch andere enthalten, OUs sodass Sie eine Hierarchie erstellen können. Sie können beispielsweise alle Konten, die derselben Abteilung angehören, zu einer Abteilungs-OU zusammenfassen. Ebenso können Sie alle Konten, auf denen Sicherheitsdienste ausgeführt werden, zu einer Sicherheits-OU zusammenfassen.
OUssind nützlich, wenn Sie dieselben Kontrollen auf eine Untergruppe von Konten in Ihrer Organisation anwenden müssen. Die Verschachtelung OUs ermöglicht kleinere Verwaltungseinheiten. Sie können z. B. für jeden Workload etwas erstellen OUs und dann OUs in jeder Workload-Organisationseinheit zwei verschachtelte Workloads erstellen, um die Produktions-Workloads von den Workloads aus der Vorproduktion zu trennen. Diese OUs übernehmen zusätzlich zu allen Kontrollen, die der Organisationseinheit auf Teamebene direkt zugewiesen sind, die Richtlinien der übergeordneten Organisationseinheit. Ihre Hierarchie kann fünf Ebenen AWS-Konten umfassenOUs, einschließlich der Stammstruktur und der untersten Ebene.
- AWS-Konto
-
An AWS-Kontoist ein Container für Ihre AWS Ressourcen. Sie erstellen und verwalten Ihre AWS Ressourcen in einem AWS-Konto, das administrative Funktionen für den Zugriff und die Abrechnung AWS-Konto bietet.
Die Verwendung mehrerer Optionen AWS-Konten ist eine bewährte Methode für die Skalierung Ihrer Umgebung, da sie eine Abrechnungsgrenze für Kosten bietet, Ressourcen aus Sicherheitsgründen isoliert, Einzelpersonen und Teams Flexibilität bietet und zudem an neue Prozesse anpassbar ist.
Anmerkung
Ein AWS Konto unterscheidet sich von einem Benutzer. Ein Benutzer ist eine Identität, die Sie mit AWS Identity and Access Management (IAM) erstellen und die entweder die Form eines IAMBenutzers mit langfristigen Anmeldeinformationen oder einer IAMRolle mit kurzfristigen Anmeldeinformationen hat. Ein einzelnes AWS Konto kann viele Benutzer und Rollen enthalten und tut dies in der Regel auch.
In einer Organisation gibt es zwei Arten von Konten: ein einzelnes Konto, das als Verwaltungskonto vorgesehen ist, und ein oder mehrere Mitgliedskonten.
- Verwaltungskonto
-
Ein Verwaltungskonto ist das Konto, mit dem AWS-Konto Sie Ihre Organisation erstellen. Über das Verwaltungskonto können Sie Folgendes tun:
Erstellen Sie weitere Konten in Ihrer Organisation
Laden Sie Einladungen für andere Konten ein, Ihrer Organisation beizutreten, und verwalten Sie sie
-
Benennen Sie delegierte Administratorkonten
Entfernen Sie Konten aus Ihrer Organisation
Ordnen Sie Entitäten wie Stammverzeichnissen, Organisationseinheiten (OUs) oder Konten innerhalb Ihrer Organisation Richtlinien zu
-
Ermöglichen Sie die Integration mit unterstützten AWS Diensten, um Servicefunktionen für alle Konten in der Organisation bereitzustellen.
Das Verwaltungskonto ist der ultimative Eigentümer der Organisation und hat die endgültige Kontrolle über die Sicherheits-, Infrastruktur- und Finanzrichtlinien. Dieses Konto hat die Rolle eines Zahlerkontos und ist für die Zahlung aller Gebühren verantwortlich, die auf den Konten in seiner Organisation anfallen.
Anmerkung
Sie können nicht ändern, welches Konto in Ihrer Organisation das Verwaltungskonto ist.
- Mitgliedskonto
-
Ein Mitgliedskonto ist ein AWS-Konto anderes als das Verwaltungskonto, das Teil einer Organisation ist. Wenn Sie Administrator einer Organisation sind, können Sie Mitgliedskonten in der Organisation erstellen und bestehende Konten einladen, der Organisation beizutreten. Sie können Richtlinien auch auf Mitgliedskonten anwenden.
Anmerkung
Ein Mitgliedskonto kann jeweils nur einer Organisation angehören. Sie können Mitgliedskonten als delegierte Administratorkonten festlegen.
- Delegierter Administrator
-
Wir empfehlen, das Verwaltungskonto von und die zugehörigen Benutzer und Rollen nur für Aufgaben zu verwenden, die über dieses Konto ausgeführt werden müssen. Die AWS -Ressourcen sollten Sie in anderen Mitgliedskonten in der Organisation speichern und aus dem Verwaltungskonto heraushalten. Dies liegt daran, dass Sicherheitsfunktionen wie die Dienststeuerungsrichtlinien von Organizations (SCPs) keine Benutzer oder Rollen im Verwaltungskonto einschränken. Durch die Trennung der Ressourcen vom Verwaltungskonto können Sie außerdem die Kosten auf Ihren Rechnungen leichter nachvollziehen. Zur Umsetzung dieser Empfehlung können Sie über das Verwaltungskonto der Organisation ein oder mehrere Mitgliedskonten als Konto für einen delegierten Administrator festlegen. Es gibt zwei Arten von delegierten Administratoren:
Delegierter Administrator für Organizations: Von diesen Konten aus können Sie Organisationsrichtlinien verwalten und Richtlinien an Entitäten (Stammkonten oder Konten) innerhalb der Organisation anhängen. OUs Über das Verwaltungskonto lassen sich Delegierungsberechtigungen auf granularer Ebene festlegen. Weitere Informationen finden Sie unter Delegierter Administrator für AWS Organizations.
Delegierter Administrator für einen AWS Dienst: Von diesen Konten aus können Sie AWS Dienste verwalten, die in Organizations integriert sind. Über das Verwaltungskonto können verschiedene Mitgliedskonten nach Bedarf als delegierte Administratoren für verschiedene Services registriert werden. Diese Konten verfügen über Administratorberechtigungen für einen bestimmten Service sowie über reine Leseberechtigungen für Organizations. Weitere Informationen finden Sie unter Delegierter Administrator für AWS-Services diese Arbeit mit Organizations
Einladungen und Handshakes
- Einladung
-
Eine Einladung ist der Vorgang, bei dem Sie ein anderes Konto bitten, Ihrer Organisation beizutreten. Eine Einladung kann nur vom Verwaltungskonto der Organisation ausgehen. Die Einladung wird entweder auf die Konto-ID oder die E-Mail-Adresse erweitert, die dem eingeladenen Konto zugeordnet ist. Wenn das eingeladene Konto eine Einladung annimmt, wird es zum Mitgliedskonto in der Organisation. Einladungen können auch an alle aktuellen Mitgliedskonten gesendet werden – nämlich dann, wenn alle Mitglieder den Wechsel von der Unterstützung der Funktionen für konsolidierte Fakturierung zur Unterstützung aller Funktionen genehmigen sollen. Die Verarbeitung von Einladungen erfolgt durch den Austausch von Handshakes durch die Konten. Möglicherweise werden beim Arbeiten in der AWS Organizations -Konsole keine Handshakes angezeigt. Wenn Sie jedoch das AWS CLI oder verwenden AWS Organizations API, müssen Sie direkt mit Handshakes arbeiten.
- Handshake
-
Ein Handschlag ist ein mehrstufiger Prozess des Informationsaustauschs zwischen zwei Parteien. Eine seiner Hauptanwendungen besteht darin, als zugrunde liegende Implementierung für Einladungen zu dienen. AWS Organizations Handshake-Nachrichten werden zwischen dem Handshake-Initiator und dem Empfänger übergeben, und beide Parteien reagieren darauf. Die Nachrichten werden so übergeben, dass beide Parteien den aktuellen Status kennen. Handshakes werden auch eingesetzt, wenn die Organisation einen Wechsel von der Unterstützung der Funktionen für konsolidierte Abrechnung zur Unterstützung aller von bereitgestellten Funktionen AWS Organizations plant. Im Allgemeinen müssen Sie nur dann direkt mit Handshakes interagieren, wenn Sie mit den AWS Organizations API oder Befehlszeilentools wie dem arbeiten. AWS CLI
Richtlinien der Organisation
Eine Richtlinie ist ein „Dokument“ mit einer oder mehreren Aussagen, die die Kontrollen definieren, die Sie auf eine Gruppe von Personen anwenden möchten AWS-Konten. AWS Organizations unterstützt Autorisierungs- und Verwaltungsrichtlinien.
Autorisierungsrichtlinien
Autorisierungsrichtlinien helfen Ihnen dabei, die Sicherheit im AWS-Konten gesamten Unternehmen zentral zu verwalten.
- Richtlinie zur Dienstkontrolle (SCP)
-
Eine Dienststeuerungsrichtlinie ist eine Art von Richtlinie, die eine zentrale Kontrolle über die maximal verfügbaren Berechtigungen für IAM Benutzer und IAM Rollen in einer Organisation bietet.
Das bedeutet, dass prinzipalorientierte Kontrollen SCPs spezifiziert werden. SCPsRichten Sie eine Berechtigungsleitplanke ein oder legen Sie Grenzen für die maximalen Berechtigungen fest, die Prinzipalen in Ihren Mitgliedskonten zur Verfügung stehen. Sie verwenden eineSCP, wenn Sie konsistente Zugriffskontrollen für Prinzipale in Ihrer Organisation zentral durchsetzen möchten.
Dazu kann die Angabe gehören, auf welche Dienste Ihre IAM Benutzer und IAM Rollen zugreifen können, auf welche Ressourcen sie zugreifen können oder unter welchen Bedingungen sie Anfragen stellen können (z. B. aus bestimmten Regionen oder Netzwerken). Weitere Informationen finden Sie unter SCPs.
- Richtlinie zur Ressourcenkontrolle (RCP)
-
Eine Ressourcenkontrollrichtlinie ist eine Art von Richtlinie, die eine zentrale Kontrolle über die maximal verfügbaren Berechtigungen für Ressourcen in einer Organisation bietet.
Das bedeutet, dass ressourcenzentrierte Kontrollen RCPs spezifiziert werden. RCPsRichten Sie eine Berechtigungsleitplanke ein oder legen Sie Grenzwerte für die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Mitgliedskonten fest. Verwenden Sie eineRCP, wenn Sie konsistente Zugriffskontrollen für alle Ressourcen in Ihrer Organisation zentral durchsetzen möchten.
Dies kann die Einschränkung des Zugriffs auf Ihre Ressourcen beinhalten, sodass nur Identitäten auf sie zugreifen können, die zu Ihrer Organisation gehören, oder die Festlegung der Bedingungen, unter denen Identitäten außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Weitere Informationen finden Sie unter RCPs.
Management-Richtlinien
Mithilfe von Verwaltungsrichtlinien können Sie ihre Funktionen unternehmensweit zentral konfigurieren AWS-Services und verwalten.
- Deklarative Richtlinie
-
Eine deklarative Richtlinie ist eine Art von Richtlinie, die es Ihnen ermöglicht, die gewünschten Konfigurationen für eine bestimmte Größe zentral in einem Unternehmen AWS-Service zu deklarieren und durchzusetzen. Einmal hinzugefügt, wird die Konfiguration immer beibehalten, wenn der Service neue Funktionen hinzufügt oderAPIs. Weitere Informationen finden Sie unter deklarative Richtlinie.
- Backup-Richtlinie
-
Eine Backup-Richtlinie ist eine Art von Richtlinie, die es Ihnen ermöglicht, Backup-Pläne zentral zu verwalten und auf die AWS Ressourcen aller Konten eines Unternehmens anzuwenden. Weitere Informationen finden Sie unter Backup-Richtlinie.
- Tag-Richtlinie
-
Eine Tag-Richtlinie ist eine Art von Richtlinie, mit der Sie die Tags, die den AWS Ressourcen in den Konten einer Organisation zugeordnet sind, standardisieren können. Weitere Informationen finden Sie unter Tag-Richtlinie.
- Chatbot-Richtlinie
-
Eine Chatbot-Richtlinie ist eine Art von Richtlinie, mit der Sie den Zugriff auf die Konten einer Organisation von Chat-Anwendungen wie Slack und Microsoft Teams aus steuern können. Weitere Informationen finden Sie unter Chatbot-Richtlinie.
- Richtlinie zur Abmeldung von KI-Services
-
Eine Opt-Out-Richtlinie für KI-Dienste ist eine Art von Richtlinie, mit der Sie die Datenerfassung für AWS KI-Dienste für alle Konten in einer Organisation kontrollieren können. Weitere Informationen finden Sie unter Richtlinie zur Deaktivierung von KI-Diensten.