什么是 AWS Organizations？

AWS 账户 是权限、安全性、成本和工作负载的自然边界。随着云环境的扩展，一个建议的最佳做法是使用多账户环境。您可以使用 AWS Command Line Interface（AWS CLI）、SDK 或 API 以编程方式创建新账户，并使用 AWS CloudFormation StackSets 为这些账户集中配置推荐的资源和权限，从而简化账户的创建。

创建新账户时，可以将其分组为若干组织单位（OU），即用于服务单个应用程序或服务的一组账户。应用标签策略以对组织中的资源进行分类或跟踪，并为用户或应用程序提供基于属性的访问控制。此外，您可以将有关受支持的 AWS 服务的责任委派给账户，以便用户可以代表您的组织对其进行管理。

您可以集中为安全团队提供工具和访问权限，使其能够代表组织管理安全需求。例如，您可以提供只读跨账户安全访问权限，使用 Amazon GuardDuty 检测和缓解威胁，使用 IAM Access Analyzer 检查对资源的意外访问，以及使用 Amazon Macie 保护敏感数据。

设置 AWS IAM Identity Center 来提供使用活动目录访问 AWS 账户和资源的权限，并根据单独的工作角色自定义权限。您还可以将组织策略应用于用户、账户或 OU。例如，服务控制策略（SCP）使您能够控制对组织中 AWS 资源、服务和区域的访问权限。资源控制策略（RCP）让您能够集中防止意外使用 AWS 资源。聊天应用程序政策让您能够控制聊天应用程序（例如 Slack 和 Microsoft Teams）对组织账户的访问权限。

您可以使用 AWS Resource Access Manager（AWS RAM） 在组织内共享 AWS 资源。例如，您可以一次创建 Amazon Virtual Private Cloud（Amazon VPC）子网并在整个组织共享。您还可以使用 AWS License Manager 集中同意软件许可，并使用 AWS Service Catalog 跨账户共享 IT 服务和自定义产品目录。

您可以跨账户激活 AWS CloudTrail，这将创建云环境中所有活动的日志，成员账户无法关闭或修改这些日志。此外，您可以使用 AWS Backup 设置策略以按照您指定的节奏强制执行备份，或者使用 AWS Config 跨账户和 AWS 区域 资源定义推荐的配置设置。

Organizations 提供了统一的整合账单。此外，您可以使用 AWS Cost Explorer 跨账户查看资源使用情况并跟踪成本，以及使用 AWS Compute Optimizer 优化计算资源的使用情况。

您可以自动创建 AWS 账户以快速启动新的工作负载。将账户添加到用于即时应用安全策略、非接触式基础设施部署和审计的用户定义组。创建单独的组来进行开发和生产账户分类，以及使用 AWS CloudFormation StackSets 为每个组预置服务和权限。

您可以应用服务控制策略（SCP）来确保用户仅执行符合安全与合规要求的操作。使用 AWS CloudTrail 创建整个组织所执行所有操作的集中日志。使用 AWS Config 跨账户和 AWS 区域查看和强制实施标准资源配置。使用 AWS Backup 自动应用常规备份。使用 AWS Control Tower 为您的 AWS 工作负载应用预打包的安全性、运营和合规性治理规则。

创建安全组并为其提供对所有资源的只读访问权限，从而识别和缓解安全问题。您可以允许该组来管理 Amazon GuardDuty，以便主动监控和缓解对工作负载的威胁，以及允许 IAM Access Analyzer 快速识别对资源的意外访问。

Organizations 可让您轻松跨账户共享关键的中央资源。例如，您可以通过共享中央 AWS Directory Service for Microsoft Active Directory，来让应用程序可以访问您的中央身份存储。

将 AWS Directory Service for Microsoft Active Directory 作为应用程序的中央身份存储共享。使用 AWS Service Catalog 在指定账户中共享 IT 服务，从而让用户可以快速发现和部署经批准的服务。通过集中定义一次应用程序资源，然后使用 AWS Resource Access Manager（AWS RAM） 在组织中共享这些资源，从而确保在您的 Amazon Virtual Private Cloud（Amazon VPC）子网上创建这些资源。