通过 Amazon Organizations 管理整体资源安全和成本

管理计算资源是 IT 专家的职责之一。作为云工程师，您需要为您的企业管理云资源，例如存储、计算和应用程序。本教程介绍 Amazon Organizations，一个通过创建组和策略来管理资源访问的服务。

• Amazon Organizations
• 如何创建组织
• 管理组织的最佳实践

在开始本教程之前，您需要有一个亚马逊云科技账户。如果您还没有账户，请先创建一个账户并设置环境。

Amazon Organizations 是一项用于管理亚马逊云科技账户的服务，用于集中管理的账单、合规性、访问控制、安全性和云资源。Amazon Organizations 中包含如下概念：管理账户、成员账户、组织单位和策略。

管理账户可以创建成员账户、组织单位和策略。管理账户的使用需遵循最小特权原则，只有高度受信任的个人才能使用管理账户。最佳实践是创建一个新的亚马逊云科技账户作为组织的管理账户，邀请用户账户加入组织。管理账户应使用共享账户的电子邮件地址，以防止注册人离开组织后，管理账户无法访问。除了管理用户和策略之外，管理账户还可是使用用于部署安全策略或其他用户策略的自动化工具。

成员账户普遍执行用于大多数工作负载。成员账户隶属于组织，组织中合并了成员账户工作负载的账单。

组织单元 (OU) 是成员账户的逻辑分组。组织单元具有层级性，一个组织单元可以包含其他组织单元。这意味着下级组织单元和子单元的成员会继承添加到父组织的策略。一个组织单元只能有一个父级，每个账户只能属于一个组织单元。

尽管组织单元具有层级性，但层级是根据职能部门建立，而不是根据企业的报告结构建立。组织单元的策略根据组的运营需求设置。例如，一个开发人员组织单元可能只能访问较少的计算资源，而生产组织单元可以访问更多的计算资源。

策略体现为用于管理组织中的亚马逊云科技账户的文档。支持两种策略类型：授权策略和服务控制策略（SCP）。策略限制组织中所有账户的最大可用权限。可以通过管理策略配置和控制亚马逊云科技服务。例如，管理策略可以管理和应用组织下的所有服务的备份计划，也可以创建和管理资源标准化标签，例如用于开发的资源标签 dev。

执行以下步骤创建和配置组织：

1. 创建组织；
2. 创建组织单元；
3. 创建服务控制策略；
4. 测试策略。

关于如何创建组织的详细信息，请参阅创建和配置组织。Amazon Organizations 服务本身不产生费用。

您可以按照上面的步骤创建一个组织。如果您要跳过或稍后再学习本教程，下面总结了与组织各部分相关的最佳实践。

• Amazon Organizations 提供四种支持计划。支持计划是根据如何使用 Amazon Organizations 而量身定制的。如果您刚开始学习使用亚马逊云科技，可选择 Developer 计划以了解该服务。第二种是 Business 支持计划。如果要进行正式开发和运行生产工作负载，可选择此选项。Enterprise 支持计划适用于在亚马逊云科技上运行关键业务和生产工作负载的企业。

• 保护根账户或管理账户。避免将根账户用于管理任务和工作负载。
• 为根账户启用多因素份验证 (MFA)。
• 为账单、运营和安全管理账户创建备用联系人，以确保及时接收通知。建议设置包含多个团队成员邮箱地址的通讯组。

• 亚马逊云科技建议您创建两个基础 OU：
  • 基础设施 OU：用于共享网络和 IT 服务。您需为您使用的每一种基础设施服务创建账户。
  • 安全 OU：用于安全服务，如日志记录、安全工具和紧急情况访问。
• 在基础设施和安全 OU 之下，创建一个非生产或软件开发生命周期 (SDLC) OU 和一个生产 OU。
• OU 可以分层，可以嵌套，但最初是相对扁平的层次结构，如下图所示：

• 您可参考组织单元最佳实践。

• 服务控制策略（SCP）是不可见的，应用于子账户中的所有角色。
• 组织层次结构中的各个级别都可以添加 SCP，所以一个账户可以继承多个策略。子账户的权限是附加到该账户的策略和从父账户继承的策略中包含的权限集合。
• 组织中的级别越高，策略粒度越小。较低级别的账户具有更严格的限制策略。例如，较高级别的账户策略允许访问 Amazon Relational Database Service（RDS），但较低级别的账户可能仅能访问较少的 RDS 实例。
• 关于 SCP 示例，请参见 Amazon Organizations 用户指南。
• 有关 SCP 的最佳实践，请参见多账户环境中的 Amazon Organizations 服务控制策略最佳实践。

• Amazon Organizations 没有提供直接测试 SCP 效果的方法。但是，您可以使用 Amazon Identity and Access Management（IAM）Access Advisor 查看组织最近访问的服务。也可以在 Amazon CLI 中执行 aws generate-organizations-access-report 命令或调用 GenerateOrganizationsAccessReport API 来查看 SCP 的效果。请参阅 Amazon IAM 使用指南中关于查看 Amazon Organizations 上次访问信息的文档。

• 另一种测试 SCP 的方法是使用 Amazon CloudTrail。具体操作，请参阅为组织创建跟踪。

本文介绍 Amazon Organizations。请务必注意，组织策略用于控制定义组织成员中可访问的服务和资源，但组织策略不会授予用户权限。

例如，某 OU 通过 SCP 继承对 Amazon S3 的访问权限，但该 OU 的成员无权创建存储，除非有显式允许该行为的 IAM 身份策略。总而言之，Amazon Organizations 用于集中管理云资源的账单、合规性、访问控制和安全性。

本文中提供了指向 Amazon Organizations 资源使用指导的链接。我们建议您完成上述教程中的试验，并阅读链接的相关文档以获取最佳实践经验。

Amazon Organizations 提供了一个框架，用于通过组织单元和服务控制策略管理账户。借助 Amazon Organizations，您可以设置策略来控制对企业级服务的访问，从而实现公司资源的安全保护和成本控制。

但是，OU 成员或账户需要精细控制，即指定可以访问这些账户中的亚马逊云科技服务和资源的用户或应用。在后续文章中，您将了解保护账户安全的最佳实践，以及如何使用 Amazon Identity and Access Management (IAM) 细粒度管理各类亚马逊云科技服务和资源的访问。