什麼是 AWS Organizations？

AWS 帳戶 是許可、安全性、成本和工作負載的自然界限。在擴展雲端環境時，使用多帳戶環境是建議的最佳實務。您可以使用 AWS Command Line Interface (AWS CLI)SDKs、 或 以程式設計方式建立新帳戶APIs，並將建議的資源和許可集中佈建至使用 的帳戶，以簡化帳戶建立AWS CloudFormation StackSets。

建立新帳戶時，您可以將它們分組為組織單位 (OUs)，或提供單一應用程式或服務的帳戶群組。套用標籤政策來分類或追蹤組織中的資源，並為使用者或應用程式提供以屬性為基礎的存取控制。此外，您可以將支援的責任委派 AWS 服務 給 帳戶，讓使用者可以代表您的組織管理這些帳戶。

您可以集中提供工具和存取權給您的安全團隊，以代表組織管理安全需求。例如，您可以跨帳戶提供唯讀安全存取、使用 Amazon GuardDuty 偵測和緩解威脅、使用 IAM Access Analyzer 檢閱對資源的意外存取，以及使用 Amazon Macie 保護敏感資料。

設定 AWS IAM Identity Center 以使用作用中目錄提供對 AWS 帳戶 和資源的存取，並根據個別任務角色自訂許可。您也可以將組織政策套用至使用者、帳戶或 OUs。例如，服務控制政策 (SCPs) 可讓您控制對組織內 AWS 資源、服務和區域的存取。資源控制政策 (RCPs) 可讓您集中防止意外使用 AWS 資源。Chatbot 政策可讓您控制從 Slack 和 Microsoft Teams 等聊天應用程式存取組織的帳戶。

您可以使用 AWS Resource Access Manager (AWS RAM) 在組織內共用 AWS 資源。例如，您可以建立一次 Amazon Virtual Private Cloud (AmazonVPC) 子網路，並在組織間共用它們。您也可以透過 集中同意軟體授權AWS License Manager，並透過 跨帳戶共用 IT 服務和自訂產品的目錄AWS Service Catalog。

您可以AWS CloudTrail跨帳戶啟用 ，這會建立雲端環境中所有活動的日誌，成員帳戶無法關閉或修改。此外，您可以設定 政策，以使用 強制執行指定節奏上的備份AWS Backup，或使用 為跨帳戶和 的資源定義建議的組態設定 AWS 區域 AWS Config。

Organizations 為您提供單一合併帳單。此外，您也可以使用 檢視來自跨帳戶資源的用量，並追蹤成本AWS Cost Explorer，以及使用 最佳化運算資源的用量AWS Compute Optimizer。

您可以自動建立 AWS 帳戶 以快速啟動新的工作負載。將帳戶新增至使用者定義的群組，以進行即時安全政策應用程式、非接觸式基礎設施部署和稽核。建立個別的群組，將開發和生產帳戶分類AWS CloudFormation StackSets，並使用 為每個群組佈建服務和許可。

您可以套用服務控制政策 (SCPs)，以確保您的使用者只執行符合您安全和合規要求的動作。使用 建立整個組織執行的所有動作的中央日誌AWS CloudTrail。檢視和強制執行跨帳戶和 AWS 區域 使用 的標準資源組態AWS Config。使用 自動套用定期備份AWS Backup。使用 AWS Control Tower 為您的 AWS 工作負載套用預先封裝的管理規則，以實現安全性、操作和合規性。

建立安全群組，並提供所有 資源的唯讀存取權，以識別和緩解安全問題。您可以允許該群組管理 Amazon GuardDuty，以便他們能夠主動監控和減輕對工作負載的威脅，以及 IAM Access Analyzer 快速識別對資源的意外存取。

組織可讓您輕鬆地跨帳戶共用重要的中央資源。例如，您可以共用您的中央AWS Directory Service for Microsoft Active Directory，讓應用程式可以存取您的中央身分存放區。

共用您的 AWS Directory Service for Microsoft Active Directory做為應用程式的中央身分存放區。使用 AWS Service Catalog 在指定的帳戶中共用 IT 服務，讓使用者可以快速探索和部署核准的服務。透過集中定義一次應用程式資源，並使用 (VPC) 在您的組織間共用這些資源，確保在 Amazon Virtual Private Cloud (Amazon) 子網路上建立這些資源。 AWS Resource Access ManagerAWS RAM