Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menyiapkan organisasi
Ketika Anda memiliki beberapa Akun AWS, Anda dapat secara logis mengelola akun tersebut melalui organisasi di AWS Organizations. Akun di AWS Organizations adalah standar Akun AWS yang berisi AWS sumber daya Anda dan identitas yang dapat mengakses sumber daya tersebut. Organisasi adalah entitas yang mengkonsolidasikan Anda Akun AWS sehingga Anda dapat mengelolanya sebagai satu unit.
Ketika Anda menggunakan akun untuk membuat organisasi, akun itu menjadi akun manajemen (juga dikenal sebagai akun pembayar atau akun root) untuk organisasi. Sebuah organisasi hanya dapat memiliki satu akun manajemen. Ketika Anda menambahkan tambahan Akun AWS ke organisasi, mereka menjadi akun anggota.
catatan
Masing-masing Akun AWS juga memiliki identitas tunggal yang disebut pengguna root. Anda dapat masuk sebagai pengguna root dengan menggunakan alamat email dan kata sandi yang Anda gunakan untuk membuat akun. Namun, kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari, bahkan yang administratif. Untuk informasi selengkapnya, lihat pengguna Akun AWS root.
Kami juga menyarankan untuk memusatkan akses root untuk akun anggota dan menghapus kredensi pengguna root dari akun anggota di organisasi Anda.
Anda mengatur akun dalam struktur hierarkis seperti pohon yang terdiri dari akar organisasi, unit organisasi (OUs), dan akun anggota. Root adalah wadah induk untuk semua akun di organisasi Anda. Unit organisasi (OU) adalah wadah untuk akun di dalam root. OU dapat berisi akun lain OUs atau anggota. OU hanya dapat memiliki satu orang tua, dan setiap akun dapat menjadi anggota hanya satu OU. Untuk informasi lebih lanjut, lihat Terminologi dan konsep (AWS Organizations dokumentasi).
Kebijakan kontrol layanan (SCP) menentukan layanan dan tindakan yang dapat digunakan pengguna dan peran. SCPs mirip dengan kebijakan izin AWS Identity and Access Management (IAM) kecuali bahwa mereka tidak memberikan izin. Sebagai gantinya, SCPs tentukan izin maksimum. Ketika Anda melampirkan kebijakan ke salah satu node dalam hierarki, itu berlaku untuk semua OUs dan akun dalam node tersebut. Misalnya, jika Anda menerapkan kebijakan ke root, itu berlaku untuk semua OUsdan akun di organisasi, dan jika Anda menerapkan kebijakan ke OU, itu hanya berlaku untuk akun OUs dan di OU target.
Kebijakan kontrol sumber daya (RCP) menawarkan kontrol pusat atas izin maksimum yang tersedia untuk sumber daya di organisasi Anda. RCPs membantu Anda memastikan bahwa sumber daya di akun Anda tetap berada dalam pedoman kontrol akses organisasi Anda.
Anda dapat menggunakan AWS Organizations konsol untuk melihat dan mengelola semua akun Anda secara terpusat dalam suatu organisasi. Salah satu manfaat menggunakan organisasi adalah Anda dapat menerima tagihan konsolidasi yang menunjukkan semua biaya yang terkait dengan akun manajemen dan anggota. Untuk informasi selengkapnya, lihat Penagihan konsolidasi (AWS Organizations dokumentasi).
Praktik terbaik
-
Jangan gunakan yang sudah ada Akun AWS untuk membuat organisasi. Mulailah dengan akun baru, yang menjadi akun manajemen Anda untuk organisasi. Operasi istimewa dapat dilakukan dalam akun manajemen organisasi, SCPs dan RCPs tidak berlaku untuk akun manajemen. Itu sebabnya Anda harus membatasi sumber daya cloud dan data yang terkandung dalam akun manajemen hanya untuk yang harus dikelola di akun manajemen.
-
Batasi akses ke akun manajemen hanya untuk individu-individu yang perlu menyediakan yang baru Akun AWS dan untuk mengelola organisasi.
-
Gunakan SCPs untuk menentukan izin maksimum untuk root, unit organisasi, dan akun anggota. SCPs tidak dapat langsung diterapkan ke akun manajemen.
-
Gunakan RCPs untuk menentukan izin maksimum untuk sumber daya di akun anggota. RCPstidak dapat langsung diterapkan ke akun manajemen.
-
Patuhi Praktik terbaik untuk AWS Organizations (AWS Organizations dokumentasi).
