AWS Organizations

在扩展您的 AWS 资源时集中管理和治理环境

AWS Organizations 可帮助您在增长和扩展 AWS 资源时集中管理和治理您的环境。使用 AWS Organizations,您可以以编程方式创建新的 AWS 账户和分配资源、将账户分组以组织您的工作流程、应用策略到账户或组中进行治理,并通过为所有账户使用一种付款方式来简化计费。

另外,AWS Organizations 与其他 AWS 服务进行了集成,以便在您的组织中跨账户指定中央配置、安全机制、审计要求和资源共享。所有 AWS 客户都可以使用 AWS Organizations,且无需额外付费。

管理您的环境

包含在 AWS 免费套餐

优势

快速扩展您的工作负载

AWS Organizations 通过允许您以编程方式创建新的 AWS 账户来帮助您快速扩展您的环境。AWS 账户是资源的容器。使用多个账户可为您提供内置安全性边界。它还可以通过为您的团队提供指定账户来为他们助力,您可以使用 AWS CloudFormation StackSets 自动预置资源和权限。

为不同工作负载提供自定义环境

您可以使用 Organizations 应用策略,让您的团队可以自由地使用他们需要的资源进行构建,同时保持在您设置的安全边界之内。通过将账户组织到组织单位 (OU)(提供应用程序或服务的账户组)中,您可以应用服务控制策略 (SCP) 以为您的 OU 创建目标治理边界。

跨账户集中保护和审计您的环境

使用 AWS CloudTrail 大规模管理审计,以创建账户中所有事件的不可变日志。您可以使用 AWS Backup 实施和监控备份环境,或使用 AWS Config 跨资源、AWS 区域和账户集中定义您的建议配置标准。您还可以使用 AWS Control Tower 制定跨账户安全审计,或管理和查看跨账户应用的策略。

此外,您还可以通过集中管理安全服务来保护您的资源,例如使用 Amazon GuardDuty 检测威胁,或使用 AWS IAM 访问分析器查看意外访问。

简化权限管理和访问控制

使用 AWS Single Sign-On (SSO) 和活动目录为组织中的所有人进行简单的基于用户的权限管理。您可以通过为作业类别创建自定义权限来应用最小特权实践。您还可以通过向用户、账户或 OU 应用服务控制策略 (SCP) 来控制对 AWS 服务的访问权。

跨账户高效预置资源

您可以通过使用 AWS 资源分配管理 (RAM) 在您的组织内共享关键资源来减少资源重复。组织还可以使用 AWS License Manager 帮助您符合软件许可协议,并使用 AWS Service Catalog 维护 IT 服务和自定义产品的目录。

管理成本和优化使用

AWS Organizations 让您可以简化成本,并通过单一账单利用数量折扣。此外,您还可以使用 AWS Compute OptimizerAWS Cost Explorer 之类的服务优化整个组织的使用量。 

工作原理

Diagram_AWS-Organizations_How-It_Works_v2

使用案例

自动创建 AWS 账户并使用组功能对工作负载分类

您可以在您需要快速启动新工作负载时自定创建新的 AWS 账户,将它们添加到您组织中的用户定义组中,以进行即时安全策略应用、无接触基础设施部署和审计。例如,您可以创建单独的组来分类开发和生产账户,然后使用 AWS CloudFormation StackSets 为每个组预置服务和权限。

实施和执行审计和合规政策

您可以应用 SCP 来确保您账户中的用户仅执行符合您安全和合规性要求的操作。此外,您还可以使用 AWS CloudTrail 创建您整个组织中执行的所有操作的集中日志,使用 AWS Config 跨账户和 AWS 区域查看和实施标准资源配置,并使用 AWS Backup 自动应用定期备份。您还可以使用 AWS Control Tower 应用预先打包的安全性、操作和合规性治理规则,以对您的 AWS 工作负载进行持续治理。

在鼓励开发的同时为您的安全团队提供工具和访问权

您可以使用 AWS Organizations 创建安全组并为它们提供对所有资源的只读访问权,以识别和减轻安全问题。此外,您还可以为它们提供管理 Amazon GuardDuty 的权限,以便它们可以主动监控和减轻对您的工作负载的威胁,且 IAM Access Analyzer 可以快速识别对您的资源的意外访问。

在账户中分享常用资源

AWS Organizations 便于您分享帐户上的关键资源。例如,您可以分享 AWS Directory Service 集中托管 Microsoft Active Directory,以便各种应用能够访问身份存储中心。使用 AWS Service Catalog 分享托管在指定账户中的 IT 服务,以便用户可以快速发现和部署批准的服务。此外,您还可以使用 AWS Resource Access Manager 一次性集中定义应用资源并在组织中共享它们,确保在 Amazon Virtual Private Cloud (VPC) 子网上创建应用资源。

客户

Samsung

“使用 AWS Organizations,我们能够在单独的账户中为团队提供他们自己的环境,以加快开发速度,这样他们就可以齐头并进,而不会影响其他的团队或管道。我们可以利用组织单元,按业务部门对账户进行分组,并支持三个常见的应用程序开发阶段。最终,我们将项目迁移到云的速度提高了 4 倍,将 IAM 权限票证的数量减少了 9/10,并将稳定性问题减少了 2/3。这都是使用 AWS Organizations 提供的简单 API 实现的。” 

Gaurav Jain,FactSet 云平台总监

Samsung

“利用 AWS Organizations,GoDaddy 能够跨账户部署一致的安全护栏,同时赋予我们的应用团队按其加速后的节奏进行构建的灵活性。例如,我们在组织级别利用 AWS Config 来监控和收集基础设施配置详细信息。我们可以在团队开发新应用程序时查看和维护成本,并通过为团队提供用于沙盒、测试和生产阶段的账户来预置特定开发环境。我们曾构建过可帮助开发人员自信地将资源部署到 GoDaddy 合规性标准的自定义应用程序,并可利用 AWS Service Catalog 集成轻松地将它们分发到账户。”

Ketan Patel,GoDaddy 软件开发高级总监

Samsung

“GE 使用 AWS Identity 服务支持其全球企业,使它们的业务能够在云中安全地运营。AWS Organizations 和服务控制策略 (SCP) 实施自上而下的治理,允许向每个业务部门委托基于身份和基于资源的策略管理。通过此模型,业务可以独立地移动并大规模运行,以应对今天的行业挑战。”

Matthew Green,GE 云架构高级总监

Samsung

“我们利用 AWS Organizations 帮助财务部门简化了云成本跟踪,因为它只向财务部门开具一个账单,并允许我们通过 AWS Savings Plans 享受数量折扣和更低的定价。此外,通过将 AWS SSO 与 AWS Organizations 结合使用,我们集中对我们的身份提供程序 (IdP) 进行身份验证,这对我们的员工来说是一个巨大的日常改进,这样他们就无需使用几组不同的凭证来访问多个 AWS 账户。我们的基础设施安全团队还能够集中管理访问权限,这样就提高了平台安全性并降低了运营成本。”

Spreaker 首席技术官 Rocco Zanni

Samsung

“我们已开始使用 AWS Organizations 管理多账户环境的账户并简化记账。我们还通过 AWS SSO 集成大幅简化了访问管理。AWS Organizations 让我们能够在自己的账户内隔离风险特征相似的工作负载、通过账户标签识别所有权,并借助不会被成员账户管理员覆盖的服务控制策略增强控制。现在,我们快速而安全地交付新账户,让开发人员能够将精力集中在业务解决方案上。”

Jaime Villegas,Bancolombia 企业服务主管

最新出版物和文章

日期
  • 日期
更多…

目前还没有找到任何博客文章。请访问 AWS 博客以了解其他资源。

访问 AWS 安全博客,了解更多信息。

了解更多有关 AWS Organizations 的信息

访问功能页面
准备好开始构建了吗?
AWS Organizations 入门
还有更多问题?
联系我们