本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 什么是 AWS Organizations?
**在扩展 AWS 资源时集中管理您的环境**
AWS Organizations 随着 AWS 资源的增长和扩展,可以帮助你集中管理和治理环境。通过使用 Organizations,您可以创建账户并分配资源,对账户进行分组以组织工作流,应用策略以满足治理的需要,并通过对所有账户使用统一的付款方式来简化账单。
Organizations 与其他组织集成, AWS 服务 因此您可以定义中央配置、安全机制、审计要求以及组织中不同账户的资源共享。有关更多信息,请参阅 [与其他 AWS Organizations 人一起使用 AWS 服务](orgs_integrate_services.md)。
下图展示了有关如何使用 AWS Organizations的高级别说明:
+ 添加账户
+ 账户分组
+ 应用策略
+ 启用 AWS 服务。
![\[此图像显示了 AWS Organizations 工作原理:添加帐户、组帐户、应用策略和启用 AWS 服务。\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/organizations-how-it-works.png)
**Topics**
+ [功能](#features)
+ [使用案例](#use-cases)
+ [术语和概念](orgs_getting-started_concepts.md)
+ [配额和服务限制](orgs_reference_limits.md)
+ [区域支持](region-support.md)
+ [计费和定价](pricing.md)
+ [支持和反馈](support-and-feedback.md)
## 的功能 AWS Organizations
AWS Organizations 提供以下功能:
**管理你的 AWS 账户**
AWS 账户 是权限、安全性、成本和工作负载的自然界限。随着云环境的扩展,一个建议的最佳做法是使用多账户环境。您可以使用 AWS Command Line Interface (AWS CLI)、或,以编程方式创建新账户 SDKs,并使用集中为这些账户配置推荐的资源和权限 APIs,从而简化账户的[AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)创建。
**定义和管理组织**
创建新帐户时,可以将其分组为组织单位 (OUs),或者为单个应用程序或服务提供服务的帐户组。应用标签策略以对组织中的资源进行分类或跟踪,并为用户或应用程序提供基于属性的访问控制。此外,您可以将支持的责任委托 AWS 服务 给账户,以便用户可以代表您的组织对其进行管理。
**保护和监控账户**
您可以集中为安全团队提供工具和访问权限,使其能够代表组织管理安全需求。例如,您可以跨账户提供只读安全访问权限,使用 [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) 检测和缓解威胁,使用 IA [M Access Analyzer 查看对资源的意外访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html),使用 A [mazon](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) Macie 保护敏感数据。
**控制访问和权限**
设置 [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) 来提供使用活动目录访问 AWS 账户 和资源的权限,并根据单独的工作角色自定义权限。您也可以将[组织策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html)应用于用户、账户或 OUs。例如,[服务控制策略 (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) 使您能够控制对组织内 AWS 资源、服务和区域的访问权限。[资源控制策略 (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) 使您能够集中防止意外使用您的 AWS 资源。[聊天应用程序政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_chatbot.html)让您能够控制聊天应用程序(例如 Slack 和 Microsoft Teams)对组织账户的访问权限。
**跨账户共享资源**
您可以使用 [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) 在组织内共享 AWS 资源。例如,您可以一次创建 [Amazon Virtual Private Cloud(Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)子网并在整个组织共享。您还可以使用 [AWS License Manager](https://docs.aws.amazon.com/license-manager/latest/userguide/license-manager.html) 集中同意软件许可,并使用 [AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/introduction.html) 跨账户共享 IT 服务和自定义产品目录。
**审计环境是否合规**
您可以跨账户激活 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html),这将创建云环境中所有活动的日志,成员账户无法关闭或修改这些日志。此外,您可以设置策略以按照您指定的节奏强制执行备份 [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html),或者为跨账户和的资源定义推荐 AWS 区域 的[AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)配置设置。
**集中管理账单和成本**
Organizations 提供了统一的整合账单。此外,您可以使用 [AWS Cost Explorer](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-reports.html) 跨账户查看资源使用情况并跟踪成本,以及使用 [AWS Compute Optimizer](https://docs.aws.amazon.com/managedservices/latest/userguide/compute-optimizer.html) 优化计算资源的使用情况。
## 的用例 AWS Organizations
以下是一些用例 AWS Organizations:
**自动创建工作负载 AWS 账户 并对其进行分类**
您可以自动创建 AWS 账户 以快速启动新的工作负载。将账户添加到用于即时应用安全策略、非接触式基础设施部署和审计的用户定义组。创建单独的群组来对开发和生产账户进行分类,并使用它[AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)为每个群组提供服务和权限。
**定义和强制实施审计和合规策略**
您可以应用服务控制策略 (SCPs) 来确保您的用户仅执行符合您的安全和合规性要求的操作。使用 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 创建整个组织所执行所有操作的集中日志。跨账户和 AWS 区域 使用查看和强制执行标准资源配置[AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)。使用 [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html) 自动应用常规备份。[AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)用于为您的 AWS 工作负载应用预打包的安全性、运营和合规性监管规则。
**为安全团队提供工具和访问权限,同时鼓励开发**
创建安全组并为其提供对所有资源的只读访问权限,从而识别和缓解安全问题。您可以允许该小组管理 [Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html), GuardDuty以便他们能够主动监控和缓解对您的工作负载的威胁,并允许 [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 快速识别对您的资源的意外访问。
**跨账户共享通用资源**
Organizations 可让您轻松跨账户共享关键的中央资源。例如,您可以通过共享中央 [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html),来让应用程序可以访问您的中央身份存储。
**跨账户共享关键的中央资源**
将 [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html) 作为应用程序的中央身份存储共享。使用 [AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/introduction.html) 在指定账户中共享 IT 服务,从而让用户可以快速发现和部署经批准的服务。通过集中定义一次应用程序资源,然后使用 [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) 在组织中共享这些资源,从而确保在您的 [Amazon Virtual Private Cloud(Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)子网上创建这些资源。
# 的术语和概念 AWS Organizations
本主题解释了的一些关键概念 AWS Organizations。
下图显示了一个由五个账户组成的组织,这些账户在根目录下组织成四个组织单位 (OUs)。该组织还有几项政策附加到其中一些账户 OUs 或直接附在账户上。
有关这些项目中每一项的描述,请参阅本主题中的定义。
![\[基本组织图\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/AccountOuDiagram.png)
**Topics**
+ [可用的功能集](#feature-set)
+ [组织结构](#organization-structure)
+ [邀请和握手](#invitations-handshakes)
+ [组织政策](#organization-policies)
## 可用的功能集
**所有功能(推荐)**
*所有功能都是*可用的默认功能集 AWS Organizations。您可以为整个组织设置集中策略和配置要求,在组织内创建自定义权限或功能,通过统一的账单管理和组织账户,以及代表组织将责任委派给其他账户。您还可以使用与其他 AWS 服务 的集成,来定义组织中所有成员账户的集中配置、安全机制、审计要求和资源共享。有关更多信息,请参阅 [与其他 AWS Organizations 人一起使用 AWS 服务](orgs_integrate_services.md)。
除管理功能外,所有功能模式还提供整合账单的所有功能。
**整合账单**
*整合账单*是提供共享账单功能的功能集,但不包括的更高级的功能 AWS Organizations。例如,您不能允许其他 AWS 服务与您的组织集成,以便在其所有账户中运行,也不能使用策略来限制不同账户中的用户和角色可以执行的操作。
您可以为最初仅支持整合账单功能的组织启用所有功能。要启用所有功能,所有受邀成员账户都必须批准更改,方法为接受当管理账户启动此过程时发送的邀请。有关更多信息,请参阅 [通过以下方式为组织启用所有功能 AWS Organizations](orgs_manage_org_support-all-features.md)。
## 组织结构
**Organization(组织)**
*组织*是您可以按照树形层次结构来集中管理和组织的 [AWS 账户](#account)集合,其中[根](#root)位于顶部,[组织单元](#organizationalunit)嵌套在根下。每个账户可以直接位于根目录中,也可以放置在层次结构 OUs 中的一个中。
每个组织都包括:
+ 一个[管理账户](#management-account)
+ 零个或多个[成员账户](#member-account)
+ 零个或多个[组织单位 (OUs)](#organizationalunit)
+ 零个或多个[策略](#organization-policies)。
一个组织的功能由您启用的[功能集](#feature-set)决定。
**根**
*管理根(根)*包含在[管理账户](#management-account)中,是组织 [AWS 账户](#management-account)的起点。根是位于组织层次结构中最顶层的容器。在此根目录下,您可以创建[组织单位 (OUs)](#organizationalunit) 来对您的账户进行逻辑分组,并将其组织 OUs 成最符合您需求的层次结构。
如果您将[管理策略](#management-policies)应用于根目录,则该策略将应用于所有[组织单位 (OUs)](#organizationalunit) 和[帐户](#account),包括该组织的管理帐户。
如果您对根用户应用授权策略(例如服务控制策略 (SCP)),则该策略将应用于组织中的所有组织单位 (OUs) 和[成员账户](#member-account)。该策略不会应用到组织的管理账户。
你只能有一个根。 AWS Organizations 创建组织时会自动为您创建根目录。
**组织部门(OU)**
*组织单位(OU)*是组织内的一组 [AWS 账户](#account)。OU 也可以包含其他组织单位, OUs 使您能够创建层次结构。例如,您可以将属于同一部门的所有账户归入一个部门 OU。同样,您可以将所有运行安全服务的账户归入一个安全 OU。
OUs 当你需要对组织中的一部分账户应用相同的控制时,这很有用。嵌套 OUs 可实现更小的管理单元。例如,您可以为每个工作负载创建 OUs ,然后在每个工作负载 OU OUs 中创建两个嵌套工作负载,将生产工作负载与预生产工作负载分开。除了直接分配给团队级 OU 的任何控制之外,它们还 OUs 继承父组织单位的策略。包括[根目录](#root)和在最低层 AWS 账户 创建的层级 OUs,你的层次结构可以深度为五级。
**AWS 账户**
*AWS 账户*是您的 AWS 资源的容器。您可以在中创建和管理您的 AWS 资源 AWS 账户,并 AWS 账户 提供访问和计费的管理功能。
使用多个 AWS 账户 是扩展环境的最佳实践,因为它提供了成本计费边界,隔离了安全资源,为个人和团队提供了灵活性,此外还可以适应新流程。
AWS 账户不同于用户。[用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_identity-management.html#intro-identity-users)是您使用 AWS Identity and Access Management (IAM)创建的身份,可以是[具有长期凭证的 IAM 用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html),也可以是[具有短期凭证的 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。一个 AWS 账户可以而且通常确实包含许多用户和角色。
组织中有两种类型的账户:一个指定为[管理账户](#management-account)的单个账户,以及一个或多个[成员账户](#member-account)。
**管理账户**
*管理账户*是 AWS 账户 您用来创建组织的。从管理账户中可以执行以下操作:
+ 在组织中创建其他账户
+ [邀请其他账户加入您的组织和管理邀请](#invitations-handshakes)
+ 指定[委派管理员账户](#delegated-admin)
+ 从组织中移除账户
+ 将策略附加到组织内的[根目录](#root)、[组织单位 (OUs)](#organizationalunit) 或账户等实体
+ 启用与支持的 AWS 服务的集成,为组织中的所有账户提供服务功能。
管理账户是组织的最终所有者,对组织的安全、基础设施和财务策略拥有最终控制权。此账户具有付款人账户的角色,并负责支付其组织中账户产生的所有费用。
**注意**
+ 您无法更改组织中的管理账户。
+ 管理账户不必直接位于根目录下,可以置于组织中的任何地方。
**成员帐户**
除管理*账户外 AWS 账户,成员*账户是组织的一部分。作为组织的[管理员](#delegated-admin),您可以在组织中创建账户并邀请现有账户加入组织。您还可以将策略应用到成员账户。
一个成员账户一次属于一个组织。您可以将成员账户指定为委派管理员账户。
**委派管理员**
我们建议您将 管理账户及其用户和角色仅用于必须由该账户执行的任务。我们建议您将所有的 AWS 资源存储在组织的其他成员账户中,而非保存在管理账户中。这是因为诸如 Organizations 服务控制策略 (SCPs) 之类的安全功能不会限制管理账户中的任何用户或角色。将资源与管理账户分离还可帮助您了解发票上的费用。在组织的管理账户中,您可以将一个或多个成员账户指定为委托管理员账户,以帮助您实施此建议。您可以使用两种类型的委托管理员:
+ Organizations 的委派管理员:通过这些账户, OUs您可以管理组织策略并将策略附加到组织内的实体(根或账户)。管理账户可以对委托权限进行精细控制。有关更多信息,请参阅 [的委派管理员 AWS Organizations](orgs_delegate_policies.md)。
+ AWS 服务的委托管理员:通过这些帐户,您可以管理与 Organiz AWS ations 集成的服务。管理账户可以根据需要,将不同的成员账户注册为不同服务的委托管理员。这些账户拥有特定服务的管理权限,以及 Organizations 只读操作权限。有关更多信息,请参阅 [委托管理员与 Org AWS 服务 anizations 合作](orgs_integrate_delegated_admin.md)。
## 邀请和握手
**邀请**
*邀请*是组织的管理账户向另一个[账户](#account)发出的请求。例如,请求独立账户加入[组织](#org)的过程即为邀请。
邀请以[握手](#handshake)的形式实施。在 AWS Organizations 控制台中处理时,您可能看不到握手。但是,如果您使用 AWS CLI 或 AWS Organizations API,则必须直接使用握手。
**握手**
*握手*是两个 AWS 账户之间的安全信息交换:发件人和收件人。
支持以下握手:
+ **INVITE**:发送至独立账户的握手,让其加入发件人的组织。
+ **ENABLE\$1ALL\$1FEATURES**:发送至受邀成员账户的握手,以启用组织的所有功能。
+ **APPROVE\$1ALL\$1FEATURES**:发送至管理账户的握手,此时所有受邀成员账户均已批准启用所有功能。
通常,只有在使用 AWS Organizations API 或命令行工具(例如)时,才需要直接与握手交互。 AWS CLI
## 组织政策
*策略*是一个 “文档”,其中包含一个或多个语句,用于定义要应用于一组的控件 AWS 账户。 AWS Organizations 支持授权策略和管理策略。
### 授权策略
授权策略可帮助您集中管理 AWS 账户 整个组织的安全性。
**服务控制策略 (SCP)**
*服务控制策略(SCP)*是一种为组织中 IAM 用户和 IAM 角色的最大可用权限提供集中控制的策略。
这意味着 SCPs 要指定以主体为中心的控制。 SCPs 创建权限护栏,或对成员账户中委托人可用的最大权限设置限制。如果您想要对组织中的主体集中强制执行一致的访问控制,可以使用 SCP。
这可包括指定您的 IAM 用户和 IAM 角色可以访问哪些服务和资源,或指定可以发出请求的条件(例如,来自特定区域或网络)。有关更多信息,请参阅 [SCPs](orgs_manage_policies_scps.md)。
**资源控制策略(RCP)**
*资源控制策略*是一种为组织中资源的最大可用权限提供集中控制的策略。
这意味着 RCPs 要指定以资源为中心的控制措施。 RCPs 为成员账户中的资源的最大可用权限创建权限护栏或设置限制。如果您想要对组织中的资源集中强制执行一致的访问控制,可以使用 RCP。
这可包括限制对资源的访问权限,这样只有属于您组织的身份才能访问这些资源,或者指定组织外部的身份在何种条件下可以访问您的资源。有关更多信息,请参阅 [RCPs](orgs_manage_policies_rcps.md)。
### 管理策略
管理策略可帮助您在整个组织中集中配置 AWS 服务 和管理其功能。
+ **[声明式策略](orgs_manage_policies_declarative.md)**允许您在整个组织中大规模集中声明和强制执行给 AWS 服务 定配置所需的配置。连接后,当服务添加新功能或时,配置将始终保持不变 APIs。
+ **[Backup 策略](orgs_manage_policies_backup.md)**允许您集中管理备份计划并将其应用于组织账户中的 AWS 资源。
+ **[标签策略](orgs_manage_policies_tag-policies.md)**允许您标准化附加到组织账户中 AWS 资源的标签。
+ 借助**[聊天应用程序政策](orgs_manage_policies_chatbot.md)**,您可以控制聊天应用程序(例如 Slack 和 Microsoft Teams)对组织账户的访问权限。
+ **[AI 服务选择退出策略](orgs_manage_policies_ai-opt-out.md)**允许您控制组织中所有账户的 AWS AI 服务数据收集。
+ 借助 **[Security Hub 策略](orgs_manage_policies_security_hub.md)**,您可以根据组织的安全要求来弥补安全覆盖范围的不足,并在整个组织中集中应用这些策略。
+ **[Amazon Inspector 政策](orgs_manage_policies_inspector.md)**允许您集中启用和管理 AWS 组织中各个账户的亚马逊 Inspector。
+ **[Amazon Bedrock 策略](orgs_manage_policies_bedrock.md)**允许您在组织结构中的任何元素中自动实施在 Amazon Bedrock Guardrails 中配置的保护措施,以应对对 Amazon Bedrock 的所有模型推理调用。
+ **[升级推出政策](orgs_manage_policies_upgrade_rollout.md)**允许您集中管理和错开组织中多个 AWS 资源和账户的自动升级。
+ **[Amazon S3 策略](orgs_manage_policies_s3.md)**允许您集中管理组织中各个账户的 Amazon S3 资源的大规模配置。
+ **[AWS Shield Network Security Director 策略](orgs_manage_policies_network_security_director.md)**允许您集中启用和管理组织中各个账户的 AWS Shield 网络安全总监。
# 的配额和服务限制 AWS Organizations
本主题介绍的配额和服务限制 AWS Organizations。
## 命名指南
以下是您在中创建的名称的指导原则 AWS Organizations,包括帐户名称、组织单位 (OUs)、根和策略:
+ 名称必须由 Unicode 字符组成。
+ 名称的最大字符串长度因对象而异。有关每个对象的实际限制的信息,请参阅 [AWS Organizations API 参考](https://docs.aws.amazon.com/organizations/latest/APIReference/)并找到创建该对象的 API 操作,然后查看该操作的 `Name` 参数详细信息。例如:[账户名称](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreateAccount.html#organizations-CreateAccount-request-AccountName)或者 [OU 名称](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreateOrganizationalUnit.html#organizations-CreateOrganizationalUnit-request-Name)。
## 注意事项
由于更新,服务配额代码可能会随着时间的推移而更改。这不会影响配额值或名称。要查找特定配额的配额代码,请使用[ListServiceQuotas](https://docs.aws.amazon.com/servicequotas/2019-06-24/apireference/API_ListServiceQuotas.html)操作,并在输出中查找所需配额的`QuotaCode`响应。
## 最大值和最小值
以下是中实体的***默认最大值***。 AWS Organizations
**注意**
请考虑以下有关 AWS Organizations 配额的信息:
您可以使用[服务限额控制台](https://console.aws.amazon.com/servicequotas/home?region=us-east-1#!/services/organizations/quotas)请求增加其中一些值。
AWS Organizations 除非另有说明,否则限制适用于组织级别。许多配额仅适用于通过 AWS Organizations 管理账户执行的操作。
AWS Organizations 是一项全球服务,在美国东部(弗吉尼亚北部)地区实际托管 (`us-east-1`)。因此,在使用 `us-east-1` Service Quotas 控制台、或 AWS SDK 时,必须使用来访问这些配额。 AWS CLI
****
| 说明 | 限制 |
| --- | --- |
| 最大账户数 | 10-组织中允许的最大帐户数。此配额可调整,您可以使用[服务配额控制台](https://console.aws.amazon.com/servicequotas/home?region=us-east-1#!/services/organizations/quotas)请求增加配额。 **注意:**只有组织的管理账户才能提交此配额增加请求。根据客户的资格和要求,最多可以准予将限制增加到 5 万个账户。对于新创建的账户和组织,此配额可能能会低于默认的 10 个账户。 发送到账户的邀请将计入此限额。如果受邀账户拒绝邀请、管理账户取消邀请或邀请过期,则撤销此计数。 账户注销后,不会停止计算此配额的使用情况,直到账户永久注销为止。有关何时永久注销账户的更多信息,请参阅《AWS 账户管理 参考指南》中的 [Post-closure period](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#post-closure-period)**。 一些服务存在账户限制,账户限制与组织中允许的最大账户数量分开计算。有关更多信息,请参阅[按 AWS 服务划分的限制](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_reference_limits.html#min-max-service-limits)。 |
| 删除已创建账户的最短期限 | 每个受支持的区域:7。在您能将创建的某个账户从组织中移除之前,该账户必须存在的最短天数。 |
| 组织中的根数量 | 1 |
| 组织 OUs 中的人数 | 2000 |
| 组织中的每种类型的策略数量 | 服务控制策略:10,000 资源控制策略:1000 声明性策略:1000 备份策略:1000 标签策略:1000 聊天应用程序政策:1000 AI 服务选择退出策略:1000 Security Hub 策略:1000 |
| 策略文档的最大大小 | 服务控制策略:5120 个字符 资源控制策略:5120 个字符 声明性策略:1 万个字符 备份策略:10000 个字符 聊天应用程序政策:1 万个字符 AI 服务选择退出策略:2500 个字符 标签策略:10000 个字符 Security Hub 策略:1 万个字符 **注意:**如果您使用保存策略 AWS 管理控制台,则 JSON 元素之间和引号之外的多余空格(例如空格和换行符)将被移除且不计算在内。如果您使用 SDK 操作或保存策略 AWS CLI,则策略将完全按照您提供的方式保存,并且不会自动删除字符。 |
| 根中的最大 OU 嵌套数 | 根 OUs 深处有五个关卡。 |
| 您可在 24 小时内可以执行的最大邀请尝试次数 | 您组织中允许的最大账户数或 20 个账户(以较大值为准)。已接受的邀请不计入此配额。一旦某个邀请被接受,您就可以发送另一个同一天的邀请。 如果您的组织中允许的最大账户数少于 20,则如果您尝试邀请超过组织所能容纳的账户数,则会出现“超出账户限制”异常。但是,您可以在一天内取消邀请并发送多次新邀请(最多 20 次尝试)。 |
| 您可以同时创建的成员账户数量 | 5 – 一个创建完成后即可开始另一个,但正在进行中的只能有五个。 |
| 您可以在 30 天内关闭的账户数量 | 组织中成员账户的 20% 或 250 个(以较高者为准),最多为 1,000 个。此限额不可调整。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/orgs_reference_limits.html) 达到此配额后,您可以注销额外的账户或等待您的配额重置。有关更多信息,请参阅《[AWS 账户管理指南》中的关闭AWS](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html)*账户*。 |
| 您可以同时关闭的成员账户数量 | 3 – 同一时间只能处理三个账户关闭。一个账户关闭完成后,您就可以关闭另一个账户。 |
| 可以附加到策略的实体数 | 无限制 |
| 您可以附加到根、OU 或账户的标签数 | 50 |
| 基于资源的委托策略的最大大小 | 40000 个字符 |
### 按 AWS 服务划分的限制
大多数都 AWS 服务 支持您在组织中可以拥有的最大账户数量。但一些服务存在账户限制,账户限制与组织中允许的最大账户数量分开计算。
下表展示了具有单独账户限制的服务。
****
| AWS 服务 | 限制 | 能否增加 | 服务文档 |
| --- | --- | --- | --- |
| AWS Directory Service (目录共享可用于 AWS Managed Microsoft AD) | 目录共享账户容量因版本而异。 | 是 | [Directory Service 配额](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_limits.html) |
| AWS Audit Manager | 250 | 是 | [AWS Audit Manager 配额](https://docs.aws.amazon.com/general/latest/gr/audit-manager.html) |
| Amazon Detective | 1200 | 是 | [Amazon Detective 配额](https://docs.aws.amazon.com/detective/latest/userguide/regions-limitations.html) |
| AWS IAM Identity Center | 3000 | 是 | [AWS IAM Identity Center 配额](https://docs.aws.amazon.com/singlesignon/latest/userguide/limits.html) |
| AWS Application Migration Service | 5000 | 否 | [AWS 配额](https://docs.aws.amazon.com/mgn/latest/ug/MGN-service-limits.html) |
| AWS Security Hub | 10000 | 否 | [AWS Security Hub 配额](https://docs.aws.amazon.com/general/latest/gr/sechub.html) |
| Amazon Macie | 10000 | 否 | [Amazon Macie 配额](https://docs.aws.amazon.com/macie/latest/user/macie-quotas.html) |
| AWS Control Tower | 10000 | 否 | [AWS Control Tower 配额](https://docs.aws.amazon.com/controltower/latest/userguide/limits.html) |
| Amazon Inspector | 10000 | 否 | [Amazon Inspector 配额](https://docs.aws.amazon.com/inspector/latest/user/quotas.html) |
| AWS Firewall Manager | 10000 | 是 | [AWS Firewall Manager 配额](https://docs.aws.amazon.com/waf/latest/developerguide/fms-limits.html) |
| Amazon DevOps Guru | 10000 | 是 | [Amazon DevOps Guru 配额](https://docs.aws.amazon.com/devops-guru/latest/userguide/quotas.html) |
## 握手的过期时间
以下是中握手的超时时间。 AWS Organizations
****
| 说明 | 限制 |
| --- | --- |
| 邀请加入组织 | 15 天 |
| 请求启用组织中的所有功能 | 90 天 |
| 握手将被删除,不再显示在列表中 | 握手完成后 30 天 |
## 可附加到实体的策略数
最小值和最大值取决于策略类型以及您要将策略附加到的实体。下表显示了各种策略类型以及可将每种类型附加到的实体数。
**注意**
这些数字仅适用于那些直接附加到 OU 或账户的策略。通过继承影响 OU 或账户的策略***不***计入这些限制。所有策略限制都属于硬限制。
****
| 策略类型 | 附加到实体的数量上限 | 附加到根的数量上限 | 每个 OU 附加的数量上限 | 每个账户附加的数量上限 |
| --- | --- | --- | --- | --- |
| 服务控制策略 | 1 — 启用 SCPs时,每个实体必须始终至少连接一个 SCP。您无法从实体上删除最后一个 SCP。 | 5 | 5 | 5 |
| 资源控制策略 | 1 — 启用后,该RCPFullAWSAccess策略会自动附加到根目录、每个 OU 以及组织中的每个账户 RCPs。您无法分离此策略,它会计入 5 个策略配额。 | 5 | 5 | 5 |
| 声明性策略 | 0 | 10 | 10 | 10 |
| 备份策略 | 0 | 10 | 10 | 10 |
| 标签策略 | 0 | 10 | 10 | 10 |
| 聊天应用程序政策 | 0 | 5 | 5 | 5 |
| AI 服务选择退出策略 | 0 | 5 | 5 | 5 |
| Security Hub 策略 | 0 | 10 | 10 | 10 |
**注意**
一个组织中只能有一个根。
## 节流限制
下表 AWS Organizations APIs 按管理类别列出了这些类别,并显示了它们在账户和组织层面各自的限制率。
AWS Organizations 使用令[牌桶算法](https://en.wikipedia.org/wiki/Token_bucket)实现 API 限制。使用此算法,您的账户拥有一个持有特定数量的*令牌*的*存储桶*。存储桶中的令牌数表示您在任何给定秒钟的节流配额。
*速率*是指每秒向令牌存储桶中添加令牌的固定速度。
*突发*是指每秒可以添加和可以使用的最大令牌数。
例如,`DescribeAccount` API 对单个 AWS 账户 的基准速率限制为每秒 20 个请求,突发速率限制为每秒 30 个请求。每秒 30 个请求的突发速率允许您暂时超过每秒 20 个请求的基准速率。
您可以在第一秒内发出 20 个请求,这是基准速率。下一秒您可以发出 30 个请求,这超过了基准速率,但仍保持在 30 的突发速率之内。但是,如果您在第三秒尝试发出超过 20 个请求,则会受到限制,因为您已超过基准速率并且容量爆增已用完。
只要每秒平均请求数随着时间推移始终保持在基准限制之内,突发速率就允许在不受限制的情况下处理临时的流量高峰。
### 账户管理限制
下表列出了 AWS Organizations APIs 用于账户管理的。
****
| AWS Organizations API | 每账户限制(速率、突发量) | 每组织限制(速率、突发量) |
| --- | --- | --- |
| CloseAccount | 0.05、1 | |
| CreateAccount, CreateGovCloudAccount | 0.1、3 | |
| DescribeAccount | 20、30 | 24、36 |
| DescribeCreateAccountStatus | 2、2 | 2、3 |
| LeaveOrganization | 1、1 | |
| ListCreateAccountStatus | 5、8 | 6、10 |
### 握手管理限制
下表列出了账户 AWS Organizations APIs 的握手。
****
| AWS Organizations API | 每账户限制(速率、突发量) | 每组织限制(速率、突发量) |
| --- | --- | --- |
| AcceptHandshake | 1、2 | 5、5 |
| DescribeHandshake | 1、2 | 6、10 |
| CancelHandshake | 2、3 | |
| DeclineHandshake | 1、1 | 5、5 |
| InviteAccountToOrganization | 3、5 | |
| ListHandshakesForAccount, ListHandshakesForOrganization | 5、8 | 6、10 |
### 组织管理限制
下表列出了 AWS Organizations APIs 用于组织管理的。
****
| AWS Organizations API | 每账户限制(速率、突发量) | 每组织限制(速率、突发量) |
| --- | --- | --- |
| CreateOrganization, DeleteOrganization, EnableFullControl | 1、1 | |
| CreateOrganizationalUnit, DescribeOrganization | 1、2 | |
| MoveAccount, UpdateOrganizationalUnit, DeleteOrganizationalUnit | 2、3 | |
| DescribeOrganizationalUnit | 2、2 | 2、3 |
| ListAccounts | 8、12 | 9、15 |
| ListChildren | 6、10 | 7、12 |
| ListParents, ListAccountsForParent, ListOrganizationalUnitsForParent | 5、8 | 6、10 |
| ListRoots | 1、2 | 1、3 |
| ListTagsForResource | 10、15 | 12、18 |
| RemoveAccountFromOrganization | 2、2 | |
| TagResource, UntagResource | 4、6 | |
### 策略管理限制
下表列出了 AWS Organizations APIs 用于策略管理的。
****
| AWS Organizations API | 每账户限制(速率、突发量) | 每组织限制(速率、突发量) |
| --- | --- | --- |
| CreatePolicy, DeletePolicy, AttachPolicy, DetachPolicy | 2、3 | |
| DescribePolicy | 2、2 | 2、3 |
| DisablePolicyType, EnablePolicyType | 1、1 | |
| ListPolicies, ListPoliciesForTarget, ListTargetsForPolicy | 5、8 | 6、10 |
| UpdatePolicy | 2、3 | |
### 服务管理限制
下表列出了 AWS Organizations APIs 用于服务管理的。
****
| AWS Organizations API | 每账户限制(速率、突发量) | 每组织限制(速率、突发量) |
| --- | --- | --- |
| 启用AWSService访问,禁用AWSService访问 | 1、2 | |
| 清单 AWSServiceAccessForOrganization, ListDelegatedServicesForAccount | 1、3 | 1、4 |
| ListDelegatedAdministrators | 5、8 | 6、10 |
| RegisterDelegatedAdministrator, DeregisterDelegatedAdministrator | 1、2 | |
# 区域支持 AWS Organizations
AWS Organizations 适用于所有 AWS 商业区域和中国地区。 AWS GovCloud (US) Regions
有关中功能差异的列表 AWS GovCloud (US) Regions,请参阅[AWS Organizations 中的 AWS GovCloud (US)](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-organizations.html)。
有关中国区域中功能差异的列表,请参阅 [AWS Organizations in China](https://docs.amazonaws.cn/en_us/aws/latest/userguide/organizations.html)。
**Organizations 服务端点的位置**:
+ 面向商业组织的端点位于美国东部(弗吉尼亚州北部)区域
+ AWS GovCloud (美国西部)适用于组织 AWS GovCloud (US)
+ 面向中国组织的端点位于由宁夏西云数据科技有限公司(西云数据)中国(宁夏)区域。
除了在中国管理的组织之外,所有组织实体都可以在全球范围内访问,这与当前 (IAM) 的工作方式类似。 AWS Identity and Access Management 在创建和管理组织 AWS 区域 时,您无需指定,但需要为在中国使用的账户创建一个单独的组织。您的用户 AWS 账户 可以在提供该服务的任何地理区域 AWS 服务 中使用。
**注意**
**标签策略仅在部分区域中受支持**
标签策略 是策略的一种类型,可帮助您在组织账户中跨资源标准化标签。只有支持 Organizations 的区域子网才支持标签策略。有关支持标签策略的区域列表,请参阅[标签策略 \$1 支持区域](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-supported-regions.html)。
## 可用清单 AWS 区域
下表列出了可用的 AWS 区域。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/region-support.html)
# 的账单和定价 AWS Organizations
AWS Organizations 不收取额外费用。您只需为成员账户中的用户和角色使用的 AWS 资源付费。例如,您需要支付成员账户中的用户或角色所使用的 Amazon EC2 实例的标准费用。有关其他 AWS 服务的定价信息,请参阅[AWS 定价](https://aws.amazon.com/pricing/services/)。
## 谁为我组织中 AWS 成员账户下的用户产生的使用付费?
[管理账户](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#management-account)的所有者负责为组织中账户使用的所有使用量、数据和资源付费。
## 我的账单会反映我在组织中创建的组织单位结构吗?
您的账单不会反映您在组织中定义的结构。您可以单独使用[成本分配标签](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) AWS 账户 对 AWS 成本进行分类和跟踪,此分配将在您组织的合并账单中可见。
# 的 Support 和反馈 AWS Organizations
我们欢迎您提供反馈。您可以在 [AWS Organizations 支持论坛](https://forums.aws.amazon.com/forum.jspa?forumID=219)上发布反馈和问题。有关 Su AWS pport 论坛的更多信息,请参阅[论坛帮助](https://forums.aws.amazon.com/help.jspa)。
## 其他 AWS 资源
+ **[AWS 培训和课程](https://aws.amazon.com/training/course-descriptions/)** — 指向基于角色的课程和专业课程以及自定进度的实验室的链接,可帮助您提高 AWS 技能并获得实践经验。
+ **[AWS 开发者工具](https://aws.amazon.com/developertools/)** — 指向开发者工具和资源的链接,这些工具和资源提供文档、代码示例、发行说明和其他信息,可帮助您构建创新应用程序 AWS。
+ **[AWS 支持 中心](https://console.aws.amazon.com/support/home#/)** — 用于创建和管理 Support AWS 案例的中心。还包括指向其他有用资源的链接,例如论坛、技术 FAQs、服务运行状况和 T AWS rusted Advisor。
+ **[AWS Support — AWS 提供有关 Support 信息的主要网页 one-on-one,这是一个快速响应的支持渠道,可帮助您在云中构建和运行应用程序。](https://aws.amazon.com/premiumsupport/)**
+ **[联系我们](https://aws.amazon.com/contact-us/)** — 查询 AWS 账单、账户、事件、滥用行为和其他问题的中央联络点。
+ **[AWS 网站条款](https://aws.amazon.com/terms/)** — 有关我们的版权和商标、您的帐户、许可证和网站访问权限以及其他主题的详细信息。