的术语和概念 AWS Organizations

所有功能都是可用的默认功能集 AWS Organizations。您可以为整个组织设置集中策略和配置要求，在组织内创建自定义权限或功能，通过统一的账单管理和组织账户，以及代表组织将责任委派给其他账户。您还可以使用与其他 AWS 服务 的集成，来定义组织中所有成员账户的集中配置、安全机制、审计要求和资源共享。有关更多信息，请参阅 与其他 AWS Organizations 人一起使用 AWS 服务。

除管理功能外，所有功能模式还提供整合账单的所有功能。

整合账单是提供共享账单功能的功能集，但不包括的更高级的功能 AWS Organizations。例如，您不能允许其他 AWS 服务与您的组织集成，以便在其所有账户中运行，也不能使用策略来限制不同账户中的用户和角色可以执行的操作。

您可以为最初仅支持整合账单功能的组织启用所有功能。要启用所有功能，所有受邀成员账户都必须批准更改，方法为接受当管理账户启动此过程时发送的邀请。有关更多信息，请参阅 通过以下方式为组织启用所有功能 AWS Organizations。

组织是您可以按照树形层次结构来集中管理和组织的 AWS 账户集合，其中根位于顶部，组织单元嵌套在根下。每个账户可以直接位于根目录中，也可以放置在层次结构OUs中的一个中。

每个组织都包括：

一个组织的功能由您启用的功能集决定。

管理根（根）包含在管理账户中，是组织 AWS 账户的起点。根是位于组织层次结构中最顶层的容器。在此根目录下，您可以创建组织单位 (OUs) 来对您的账户进行逻辑分组，并将其组织OUs成最符合您需求的层次结构。

如果您将管理策略应用于根目录，则该策略将应用于所有组织单位 (OUs) 和帐户，包括该组织的管理帐户。

如果您对根用户应用授权策略（例如，服务控制策略 (SCP)），则该策略将应用于组织中的所有组织单位 (OUs) 和成员账户。该策略不会应用到组织的管理账户。

组织单位（OU）是组织内的一组 AWS 账户。OU 也可以包含其他组织单位，OUs使您能够创建层次结构。例如，您可以将属于同一部门的所有账户归入一个部门 OU。同样，您可以将所有运行安全服务的账户归入一个安全 OU。

OUs当你需要对组织中的一部分账户应用相同的控制时，这很有用。嵌套OUs可实现更小的管理单元。例如，您可以为每个工作负载创建OUs，然后在每个工作负载 OU OUs 中创建两个嵌套工作负载，将生产工作负载与预生产工作负载分开。除了直接分配给团队级 OU 的任何控制之外，它们还OUs继承父组织单位的策略。包括根目录和在最低层 AWS 账户 创建的层级OUs，你的层次结构可以深度为五级。

AWS 账户是您的 AWS 资源的容器。您可以在中创建和管理您的 AWS 资源 AWS 账户，并 AWS 账户 提供访问和计费的管理功能。

使用多个 AWS 账户 是扩展环境的最佳实践，因为它提供了成本计费边界，隔离了安全资源，为个人和团队提供了灵活性，此外还可以适应新流程。

组织中有两种类型的账户：一个指定为管理账户的单个账户，以及一个或多个成员账户。

管理账户是 AWS 账户 您用来创建组织的。从管理账户中可以执行以下操作：

管理账户是组织的最终所有者，对组织的安全、基础设施和财务策略拥有最终控制权。此账户具有付款人账户的角色，并负责支付其组织中账户产生的所有费用。

除管理账户外 AWS 账户，成员账户是组织的一部分。作为组织的管理员，您可以在组织中创建账户并邀请现有账户加入组织。您还可以将策略应用到成员账户。

我们建议您将 管理账户及其用户和角色仅用于必须由该账户执行的任务。我们建议您将所有的 AWS 资源存储在组织的其他成员账户中，而非保存在管理账户中。这是因为诸如 Organizations 服务控制策略 (SCPs) 之类的安全功能不会限制管理账户中的任何用户或角色。将资源与管理账户分离还可帮助您了解发票上的费用。在组织的管理账户中，您可以将一个或多个成员账户指定为委托管理员账户，以帮助您实施此建议。您可以使用两种类型的委托管理员：

邀请是请求其他账户加入组织的过程。邀请只能由组织的管理账户发出。邀请扩展到与受邀账户相关联的账户 ID 或电子邮件地址。受邀账户接受邀请后，它将成为组织中的成员账户。如果组织需要所有当前成员账户批准将仅支持整合账单功能更改为支持组织中的所有功能，也可以将邀请发送到所有成员。通过交换握手信息，对各个账户发出邀请。在 AWS Organizations 控制台中处理时，您可能看不到握手。但是，如果您使用 AWS CLI 或 AWS Organizations API，则必须直接使用握手。

握手是在双方之间交换信息的多步骤过程。它的主要用途之一 AWS Organizations 是用作邀请的底层实现。握手消息在握手发起方和接收方之间传递并由双方进行响应。消息的传递方式有助于确保双方知道当前状态是什么。将组织从仅支持整合账单功能更改为支持 提供的所有功能 AWS Organizations 时，也可以使用握手。通常，只有在使用 AWS Organizations API或命令行工具（例如）时，才需要直接与握手交互。 AWS CLI

服务控制策略是一种对组织中IAM用户和IAM角色的最大可用权限进行集中控制的策略。

这意味着SCPs要指定以主体为中心的控制。 SCPs创建权限护栏，或对成员账户中委托人可用的最大权限设置限制。SCP当你想对组织中的委托人集中实施一致的访问控制时，你可以使用。

这可能包括指定您的IAM用户和IAM角色可以访问哪些服务，他们可以访问哪些资源，或者他们可以在什么条件下提出请求（例如，来自特定区域或网络）。有关更多信息，请参阅 SCPs。

资源控制策略是一种对组织中资源的最大可用权限进行集中控制的策略。

这意味着RCPs要指定以资源为中心的控制措施。 RCPs为成员账户中的资源的最大可用权限创建权限护栏或设置限制。RCP当您想对组织中的资源集中实施一致的访问控制时，请使用。

这可能包括限制对资源的访问权限，使其只能由属于您的组织的身份进行访问，或者指定组织外部身份可以访问您的资源的条件。有关更多信息，请参阅 RCPs。

声明式策略是一种策略，允许您在整个组织中大规模集中声明和强制执行给定 AWS 服务 配置所需的配置。附加后，当服务添加新功能时，配置将始终保持不变APIs。有关更多信息，请参阅声明性策略。

备份策略是一种策略，允许您集中管理备份计划并将其应用于组织账户中的 AWS 资源。有关更多信息，请参阅备份策略。

标签策略是一种策略，允许您标准化附加到组织账户中 AWS 资源的标签。有关更多信息，请参阅标签策略。

聊天机器人策略是一种策略，允许你控制聊天应用程序（例如 Slack 和 Microsoft Teams）对组织帐户的访问权限。如需了解更多信息，请参阅 Chatbot 政策。

AI 服务选择退出策略是一种策略，允许您控制组织中所有账户的 AWS AI 服务数据收集。有关更多信息，请参阅 AI 服务选择退出政策。