什么是 AWS Organizations？

AWS 账户 是权限、安全性、成本和工作负载的自然界限。随着云环境的扩展，一个建议的最佳做法是使用多账户环境。您可以使用 AWS Command Line Interface (AWS CLI)、或，以编程方式创建新账户SDKs，并使用集中为这些账户配置推荐的资源和权限APIs，从而简化账户的AWS CloudFormation StackSets创建。

创建新帐户时，可以将其分组为组织单位 (OUs)，或者为单个应用程序或服务提供服务的帐户组。应用标签策略以对组织中的资源进行分类或跟踪，并为用户或应用程序提供基于属性的访问控制。此外，您可以将支持的责任委托 AWS 服务 给账户，以便用户可以代表您的组织对其进行管理。

您可以集中为安全团队提供工具和访问权限，使其能够代表组织管理安全需求。例如，您可以跨账户提供只读安全访问权限，使用 Amazon GuardDuty 检测和缓解威胁，使用 Access Analyzer 查看对资源的意外IAM访问，使用 Amazon Macie 保护敏感数据。

设置 AWS IAM Identity Center 来提供使用活动目录访问 AWS 账户 和资源的权限，并根据单独的工作角色自定义权限。您也可以将组织策略应用于用户、账户或OUs。例如，服务控制策略 (SCPs) 使您能够控制对组织内 AWS 资源、服务和区域的访问权限。资源控制策略 (RCPs) 使您能够集中防止意外使用您的 AWS 资源。聊天机器人策略使您可以控制聊天应用程序（例如 Slack 和 Microsoft Teams）对组织账户的访问权限。

您可以使用 AWS Resource Access Manager (AWS RAM) 在组织内共享 AWS 资源。例如，您只需创建一次您的亚马逊虚拟私有云 (AmazonVPC) 子网，然后在整个组织中共享这些子网。您还可以使用 AWS License Manager 集中同意软件许可，并使用 AWS Service Catalog 跨账户共享 IT 服务和自定义产品目录。

您可以跨账户激活 AWS CloudTrail，这将创建云环境中所有活动的日志，成员账户无法关闭或修改这些日志。此外，您可以设置策略以按照您指定的节奏强制执行备份 AWS Backup，或者为跨账户和的资源定义推荐 AWS 区域 的AWS Config配置设置。

Organizations 提供了统一的整合账单。此外，您可以使用 AWS Cost Explorer 跨账户查看资源使用情况并跟踪成本，以及使用 AWS Compute Optimizer 优化计算资源的使用情况。

您可以自动创建 AWS 账户 以快速启动新的工作负载。将账户添加到用于即时应用安全策略、非接触式基础设施部署和审计的用户定义组。创建单独的群组来对开发和生产账户进行分类，并使用它AWS CloudFormation StackSets为每个群组提供服务和权限。

您可以应用服务控制策略 (SCPs) 来确保您的用户仅执行符合您的安全和合规性要求的操作。使用 AWS CloudTrail 创建整个组织所执行所有操作的集中日志。跨账户和 AWS 区域 使用查看和强制执行标准资源配置AWS Config。使用 AWS Backup 自动应用常规备份。AWS Control Tower用于为您的 AWS 工作负载应用预打包的安全性、运营和合规性监管规则。

创建安全组并为其提供对所有资源的只读访问权限，从而识别和缓解安全问题。您可以允许该小组管理 Amazon， GuardDuty以便他们能够主动监控和缓解对您的工作负载的威胁，并允许 A IAMccess Analyzer 快速识别对您的资源的意外访问。

Organizations 可让您轻松跨账户共享关键的中央资源。例如，您可以通过共享中央 AWS Directory Service for Microsoft Active Directory，来让应用程序可以访问您的中央身份存储。

将 AWS Directory Service for Microsoft Active Directory 作为应用程序的中央身份存储共享。使用 AWS Service Catalog 在指定账户中共享 IT 服务，从而让用户可以快速发现和部署经批准的服务。集中定义一次应用程序资源，然后使用 (VPC) 在整个组织中共享，从而确保在您的 Amazon Virtual Private Cloud AWS Resource Access Manager (Amazon AWS RAM) 子网上创建应用程序资源。