AWS Organizations

在扩展您的 AWS 资源时集中管理和治理环境

AWS Organizations 可帮助您在增长和扩展 AWS 资源时集中管理和治理您的环境。使用 AWS Organizations,您可以以编程方式创建新的 AWS 账户和分配资源、将账户分组以组织您的工作流程、应用策略到账户或组中进行治理,并通过为所有账户使用一种付款方式来简化计费。

另外,AWS Organizations 与其他 AWS 服务进行了集成,以便在您的组织中跨账户指定中央配置、安全机制、审计要求和资源共享。所有 AWS 客户都可以使用 AWS Organizations,且无需额外付费。

介绍 AWS Organizations (1:56)

优势

快速扩展您的工作负载

AWS Organizations 通过允许您以编程方式创建新的 AWS 账户来帮助您快速扩展您的环境。AWS 账户是资源的容器。使用多个账户可为您提供内置安全性边界。它还可以通过为您的团队提供指定账户来为他们助力,您可以使用 AWS CloudFormation StackSets 自动预置资源和权限。

为不同工作负载提供自定义环境

您可以使用 Organizations 应用策略,让您的团队可以自由地使用他们需要的资源进行构建,同时保持在您设置的安全边界之内。通过将账户组织到组织单位 (OU)(提供应用程序或服务的账户组)中,您可以应用服务控制策略 (SCP) 以为您的 OU 创建目标治理边界。

跨账户集中保护和审计您的环境

使用 AWS CloudTrail 大规模管理审计,以创建账户中所有事件的不可变日志。您可以使用 AWS Backup 实施和监控备份环境,或使用 AWS Config 跨资源、AWS 区域和账户集中定义您的建议配置标准。您还可以使用 AWS Control Tower 制定跨账户安全审计,或管理和查看跨账户应用的策略。

此外,您还可以通过集中管理安全服务来保护您的资源,例如使用 Amazon GuardDuty 检测威胁,或使用 AWS IAM 访问分析器查看意外访问。

简化权限管理和访问控制

使用 AWS Single Sign-On (SSO) 和活动目录为组织中的所有人进行简单的基于用户的权限管理。通过为作业类别创建自定义权限来应用最小特权实践。您还可以通过向用户、账户或 OU 应用服务控制策略 (SCP) 来控制对 AWS 服务的访问权。

跨账户高效预置资源

通过使用 AWS 资源分配管理 (RAM) 在您的组织内共享关键资源来检查资源重复。组织还可以使用 AWS License Manager 帮助您符合软件许可协议,并使用 AWS Service Catalog 维护 IT 服务和自定义产品的目录。

管理成本和优化使用

简化成本,并通过单一账单利用数量折扣。此外,您还可以使用 AWS Compute OptimizerAWS Cost Explorer 之类的服务优化整个组织的使用量。 

工作原理

Diagram_AWS-Organizations_How-It_Works_v2

使用案例

自动创建 AWS 账户并使用组功能对工作负载分类

您可以在您需要快速启动新工作负载时自定创建新的 AWS 账户,将它们添加到您组织中的用户定义组中,以进行即时安全策略应用、无接触基础设施部署和审计。例如,您可以创建单独的组来分类开发和生产账户,然后使用 AWS CloudFormation StackSets 为每个组预置服务和权限。

实施和执行审计和合规政策

您可以应用 SCP 来确保您账户中的用户仅执行符合您安全和合规性要求的操作。此外,您还可以使用 AWS CloudTrail 创建您整个组织中执行的所有操作的集中日志,使用 AWS Config 跨账户和 AWS 区域查看和实施标准资源配置,并使用 AWS Backup 自动应用定期备份。您还可以使用 AWS Control Tower 应用预先打包的安全性、操作和合规性治理规则,以对您的 AWS 工作负载进行持续治理。

在鼓励开发的同时为您的安全团队提供工具和访问权

您可以使用 AWS Organizations 创建安全组并为它们提供对所有资源的只读访问权,以识别和减轻安全问题。此外,您还可以为它们提供管理 Amazon GuardDuty 的权限,以便它们可以主动监控和减轻对您的工作负载的威胁,且 IAM Access Analyzer 可以快速识别对您的资源的意外访问。

在账户中分享常用资源

AWS Organizations 便于您分享帐户上的关键资源。例如,您可以分享 AWS Directory Service 集中托管 Active Directory,以便各种应用能够访问身份存储中心。使用 AWS Service Catalog 分享托管在指定账户中的 IT 服务,以便用户可以快速发现和部署批准的服务。此外,您还可以使用 AWS Resource Access Manager 一次性集中定义应用资源并在组织中共享它们,确保在 AWS Virtual Private Cloud (VPC) 子网上创建应用资源。

最近出版物和文章

日期
  • 日期
更多…

目前还没有找到任何博客文章。请访问 AWS 博客以了解其他资源。

访问 AWS 安全博客,了解更多信息。

了解更多有关 AWS Organizations 的信息

访问功能页面
准备好开始构建了吗?
AWS Organizations 入门
还有更多问题?
联系我们