本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 的術語和概念 AWS Organizations
本主題說明 的一些重要概念 AWS Organizations。
下圖顯示由五個帳戶組成的組織,這些帳戶在根目錄下組織成四個組織單位 (OUs)。組織也有數個政策連接到其中的部分 OU 或直接連接至帳戶。
對於每個項目的描述,請參閱本主題中的定義。
![\[基本組織的圖表\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/AccountOuDiagram.png)
**Topics**
+ [可用的功能集](#feature-set)
+ [組織結構](#organization-structure)
+ [邀請和交握](#invitations-handshakes)
+ [組織政策](#organization-policies)
## 可用的功能集
**所有功能 (建議)**
*所有功能*都是 可用的預設功能集 AWS Organizations。您可以設定整個組織的中央政策和組態需求、在組織內建立自訂許可或功能、在單一帳單下管理和組織您的帳戶,以及代表組織將責任委派給其他帳戶。您也可以使用與其他 的整合 AWS 服務 來定義組織中所有成員帳戶的中央組態、安全機制、稽核需求和資源共用。如需詳細資訊,請參閱[AWS Organizations 搭配其他 使用 AWS 服務](orgs_integrate_services.md)。
所有功能模式都提供合併帳單的所有功能以及管理功能。
**合併帳單**
*合併帳單*是提供共用帳單功能的功能集,但不包含 的更進階功能 AWS Organizations。例如,您無法讓其他服務與您的組織 AWS 整合,以跨其所有帳戶運作,或使用 政策來限制不同帳戶中的使用者和角色可以執行的操作。
您可以為原本僅支援合併帳單功能的組織啟用所有功能。若要啟用所有功能,所有獲邀請的成員帳戶必須透過接受在管理帳戶啟動程序時傳送的邀請來核准變更。如需詳細資訊,請參閱[使用 啟用組織的所有功能 AWS Organizations](orgs_manage_org_support-all-features.md)。
## 組織結構
**組織**
*組織*是 的集合[AWS 帳戶](#account),您可以集中管理,並整理成階層式的樹狀結構,其[根](#root)目錄位於頂端,而[組織單位](#organizationalunit)巢狀在根目錄下。每個帳戶都可以直接放在根帳戶中,或放在階層中的其中一個 OU 中。
每個組織都包含:
+ [管理帳戶](#management-account)
+ 零個或多個[成員帳戶](#member-account)
+ 零個或多個[組織單位 OUs)](#organizationalunit)
+ 零或多個[政策](#organization-policies)。
組織具有的功能取決於您啟用的[功能集](#feature-set)。
**Root**
管理[帳戶中包含管理](#management-account)*根 (根)*,是組織 的起點[AWS 帳戶](#management-account)。根是組織階層中最上層的容器。在此根目錄下,您可以建立[組織單位 (OUs)](#organizationalunit),以邏輯方式將您的帳戶分組,並將這些 OUs 組織到最符合您需求的階層中。
如果您將[管理政策](#management-policies)套用至根帳戶,則會套用至所有[組織單位 OUs)](#organizationalunit) 和[帳戶](#account),包括組織的管理帳戶。
如果您將授權政策 (例如,服務控制政策 (SCP)) 套用至根帳戶,則會套用至組織中的所有組織單位 (OUs) 和[成員帳戶](#member-account)。它不適用於組織中的管理帳戶。
建立組織時,您只能有一個 root. AWS Organizations automatic 為您建立根。
**組織單位 (OU)**
*組織單位 (OU)* 是[AWS 帳戶](#account)組織內的 群組。OU 也可以包含其他 OUs,讓您建立階層。例如,您可以將屬於相同部門的所有帳戶分組為部門 OU。同樣地,您可以將執行安全服務的所有帳戶分組為安全 OU。
當您需要將相同的控制項套用至組織中的帳戶子集時,OUs非常有用。巢狀 OUs可啟用較小的管理單位。例如,您可以為每個工作負載建立 OUs,然後在每個工作負載 OUs 中建立兩個巢狀 OU,以將生產工作負載從生產前分割出來。除了直接指派給團隊層級 OU 的任何控制項之外,這些 OU 還會繼承父系 OU OUs 的政策。包含[根](#root)並在最低OUs 中 AWS 帳戶 建立,您的階層可以是五個層級的深度。
**AWS 帳戶**
*AWS 帳戶* 是 AWS 資源的容器。您可以在 中建立和管理 AWS 資源 AWS 帳戶,而 AWS 帳戶 提供存取和計費的管理功能。
使用多個 AWS 帳戶 是擴展您環境的最佳實務,因為它提供成本的帳單界限、隔離資源的安全性、提供彈性或個人和團隊,以及適應新的程序。
AWS 帳戶與使用者不同。[使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_identity-management.html#intro-identity-users)是您使用 AWS Identity and Access Management (IAM) 建立的身分,採用[具有長期憑證的 IAM 使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)或[具有短期憑證的 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)的形式。單一 AWS 帳戶可以且通常包含許多使用者和角色。
組織中有兩種類型的帳戶:指定為[管理帳戶的](#management-account)單一帳戶,以及一或多個[成員帳戶](#member-account)。
**管理帳戶**
*管理帳戶*是您 AWS 帳戶 用來建立組織的 。從 管理帳戶,您可以執行下列動作:
+ 在組織中建立其他帳戶
+ [邀請和管理其他帳戶的邀請](#invitations-handshakes),以加入您的組織
+ 指定[委派管理員帳戶](#delegated-admin)
+ 從組織移除帳戶
+ 將政策連接到實體,例如[根](#root)、[組織單位 OUs)](#organizationalunit) 或組織內的帳戶
+ 啟用與支援服務的整合 AWS ,以跨組織中的所有帳戶提供服務功能。
管理帳戶是組織的最終擁有者,擁有安全、基礎設施和財務政策的最終控制權。此帳戶具有付款人帳戶的角色,並負責支付其組織中帳戶產生的所有費用。
**備註**
+ 您無法變更組織中哪個帳戶是管理帳戶。
+ 管理帳戶不必直接位於根目錄下,可以放置在組織的任何位置。
**成員帳戶**
*成員帳戶*是管理帳戶 AWS 帳戶以外的 ,屬於組織的一部分。如果您是組織的[管理員](#delegated-admin),您可以在組織中建立成員帳戶,並邀請現有帳戶加入組織。您也可以將政策套用至成員帳戶。
成員帳戶一次只能屬於一個組織。您可以指定要委派管理員帳戶的成員帳戶。
**委派的管理員**
我們建議您僅將 管理帳戶及其使用者和角色用於必須由該帳戶執行的任務。我們建議您將 AWS 資源存放在組織內其他成員帳戶中,且將其保存在管理帳戶之外。這是因為安全性功能 (例如 Organizations 服務控制政策 (SCP)) 不會限制管理帳戶中任何使用者或角色。將資源與管理帳戶分開,也可協助您瞭解發票上的費用。從組織的管理帳戶中,您可以將一或多個成員帳戶指定為委派管理員帳戶以協助您實作此建議。委派管理員有兩種類型:
+ Organizations 的委派管理員:您可以從這些帳戶管理組織政策,並將政策附加至組織內的實體 (根、OU 或帳戶)。管理帳戶可以在細微層級控制委派權限。如需詳細資訊,請參閱[的委派管理員 AWS Organizations](orgs_delegate_policies.md)。
+ AWS 服務的委派管理員:您可以從這些帳戶管理與 Organizations 整合 AWS 的服務。管理帳戶可以根據需要將不同的會員帳戶註冊為委派管理員。這些帳戶具有特定服務的管理權限,以及 Organizations 唯讀動作的權限。如需詳細資訊,請參閱[與 Organizations 搭配使用 AWS 服務 的 委派管理員](orgs_integrate_delegated_admin.md)
## 邀請和交握
**邀請**
*邀請*是由組織的管理帳戶向另一個[帳戶](#account)提出的請求。例如,要求獨立帳戶加入[組織](#org)的程序是邀請。
邀請會實作為[交握](#handshake)。您在 AWS Organizations 主控台可能看不到交握。但是,如果您使用 AWS CLI 或 AWS Organizations API,則必須直接使用交握。
**交握**
*交握*是兩個 AWS 帳戶之間的安全資訊交換:寄件者和收件人。
支援下列交握:
+ **INVITE**:交握傳送到獨立帳戶,以便加入寄件者的組織。
+ **ENABLE\$1ALL\$1FEATURES**:交握已傳送至受邀的成員帳戶,以啟用組織的所有功能。
+ **APPROVE\$1ALL\$1FEATURES**:當所有受邀成員帳戶已核准啟用所有功能時,將交握傳送至管理帳戶。
您通常只有在使用 AWS Organizations API 或 等命令列工具時,才需要直接與交握互動 AWS CLI。
## 組織政策
*政策*是具有一或多個陳述式的「文件」,可定義您要套用至 群組的控制項 AWS 帳戶。 AWS Organizations 支援授權政策和管理政策。
### 授權政策
授權政策可協助您集中管理 AWS 帳戶 整個組織的安全性。
**服務控制政策 (SCP)**
*服務控制政策*是一種政策,可集中控制組織中 IAM 使用者和 IAM 角色的最大可用許可。
這表示 SCPs指定以主體為中心的控制項。SCPs 會建立許可護欄,或設定成員帳戶中主體可用的許可上限。當您想要對組織中的主體集中強制執行一致的存取控制時,您可以使用 SCP。
這可能包括指定您的 IAM 使用者和 IAM 角色可以存取哪些服務、他們可以存取哪些資源,或是他們可以提出請求的條件 (例如,來自特定區域或網路)。如需詳細資訊,請參閱 [SCPs](orgs_manage_policies_scps.md)。
**資源控制政策 (RCP)**
*資源控制政策*是一種政策,可集中控制組織中資源的可用許可上限。
這表示 RCPs會指定以資源為中心的控制項。RCPs 會針對成員帳戶中資源可用的許可上限,建立許可護欄或設定限制。當您想要在組織中跨資源集中強制執行一致的存取控制時,請使用 RCP。
這可能包括限制對 資源的存取,以便只能由屬於您組織的身分存取,或指定組織外部身分可以存取您資源的條件。如需詳細資訊,請參閱 [RCPs](orgs_manage_policies_rcps.md)。
### 管理政策
管理政策可協助您集中設定和管理整個組織的 AWS 服務 及其功能。
+ **[宣告政策](orgs_manage_policies_declarative.md)**可讓您集中宣告和強制執行整個組織中指定 AWS 服務 之 所需的組態。連接後,當服務新增新功能或 APIs時,一律會維護組態。
+ **[備份政策](orgs_manage_policies_backup.md)**可讓您集中管理備份計劃,並將備份計劃套用至整個組織帳戶的 AWS 資源。
+ **[標籤政策](orgs_manage_policies_tag-policies.md)**可讓您標準化連接至組織帳戶中 AWS 資源的標籤。
+ **[聊天應用程式政策](orgs_manage_policies_chatbot.md)**可讓您從 Slack 和 Microsoft Teams 等聊天應用程式控制對組織帳戶的存取。
+ **[AI 服務選擇退出政策](orgs_manage_policies_ai-opt-out.md)**可讓您控制組織中所有帳戶的 AWS AI 服務資料收集。
+ **[Security Hub 政策](orgs_manage_policies_security_hub.md)**可讓您解決符合組織安全需求的安全涵蓋範圍差距,並將這些差距集中套用至整個組織。
+ **[Amazon Inspector 政策](orgs_manage_policies_inspector.md)**可讓您在 AWS 組織中跨帳戶集中啟用和管理 Amazon Inspector。
+ **[Amazon Bedrock 政策](orgs_manage_policies_bedrock.md)**可讓您針對對 Amazon Bedrock 的所有模型推論呼叫,在組織結構中的任何元素中自動強制執行在 Amazon Bedrock Guardrails 中設定的保護措施。
+ **[升級推展政策](orgs_manage_policies_upgrade_rollout.md)**可讓您集中管理和交錯組織中多個 AWS 資源和帳戶的自動升級。
+ **[Amazon S3 政策](orgs_manage_policies_s3.md)**可讓您在組織中跨帳戶大規模集中管理 Amazon S3 資源的組態。
+ **[AWS Shield Network Security Director 政策](orgs_manage_policies_network_security_director.md)**可讓您集中啟用和管理組織中所有帳戶的 AWS Shield Network Security Director。