AWS Organizations 入门

试用 AWS Organizations

所有 AWS 客户都可以使用 AWS Organizations,且无需额外付费。

问:什么是 AWS Organizations?

AWS Organizations 可为多个 AWS 账户提供基于策略的管理。借助 AWS Organizations,您可以创建账户组,然后将策略应用于这些组。Organizations 支持您针对多个账户集中管理策略,无需使用自定义脚本和手动操作流程。

问:借助 AWS Organizations,可以实现哪些管理操作?

借助 AWS Organizations,可以实现以下管理操作:

  • 创建 AWS 账户并将其添加到您的组织,或者将现有 AWS 账户添加到您的组织。
  • 将您的 AWS 账户整理到被称为组织单元 (OU) 的组中。
  • 将 OU 整理为一个与公司结构相匹配的层次结构。
  • 集中管理策略并将其与整个组织、OU 或各个 AWS 账户关联起来。

问:在此次发布的版本中,AWS Organizations 可以实现哪些控制?

利用此次发布的版本,您可以定义并执行 AWS 服务操作 (如 Amazon EC2 RunInstance),这些操作可以在组织内不同的 AWS 账户中使用。

问:我是否需要将我的整合账单系列迁移至 AWS Organizations?

不需要。AWS 已经将整合账单系列自动迁移到 AWS Organizations,并且仅启用的整合账单的各种功能。

问:如何开始使用?

首先,您必须先确定将哪个 AWS 账户作为主账户。如果您有整合账单系列,我们已将您的整合账单付款人 AWS 账户转换为主账户。如果您没有整合账单系列,则可以创建新的 AWS 账户,或者选择现有账户。

适用于使用整合账单的客户的操作步骤

  1. 导航至整合账单控制台。AWS 会将您重定向至全新的 AWS Organizations 控制台。
  2. AWS 已自动转换您的整合账单系列,以便您可以开始利用新的组织功能。
适用于未使用整合账单的客户的操作步骤
 
您需要按照以下几个简单步骤创建新组织:
 
  1. 使用您要用于管理组织的 AWS 账户,以管理员身份登录 AWS 管理控制台
  2. 导航至 AWS Organizations 控制台。
  3. 选择 Create Organization
  4. 选择您要为组织启用的功能。即 consolidated billing only featuresall features
  5. 使用以下两种方法之一将 AWS 账户添加到您的组织:
    1. 通过现有 AWS 账户的 AWS 账户 ID 或关联的电子邮件地址邀请其加入您的组织。
    2. 创建新的 AWS 账户。
  6. 通过将您的 AWS 账户分组到 OU 中来塑造您的组织层次结构。
  7. 如果选择为组织启用所有功能,则可以为这些 OU 编写和分配控件。

您还可以使用 AWS CLI (针对命令行访问) 或 SDK (针对编程访问) 执行相同的步骤来创建新组织。

注意:您只能使用并非其他组织成员的 AWS 账户开始创建新组织。
 
有关更多信息,请参阅 AWS Organizations 入门

问:什么是组织?

组织是指一系列 AWS 账户,您可以将其整理为一个层次结构并进行集中管理。

问:什么是 AWS 账户?

AWS 账户是您 AWS 资源的容器。您可以在 AWS 账户中创建和管理您的 AWS 资源,且 AWS 账户会提供访问和计费等管理功能。

问:什么是主账户?

主账户指您用于创建组织的 AWS 账户。使用主账户,您可以在组织内创建其他账户,邀请其他账户加入您的组织并对此类邀请进行管理,以及从您的组织中删除账户。您还可以将策略与组织内的管理根、组织单元 (OU) 或账户等实体关联。主账户将承担付款人账户的职责,并负责支付其组织内所有账户产生的全部费用。您不能更改组织内的哪个账户为主账户。

问:什么是成员账户?

成员账户是除主账户以外的 AWS 账户,是组织的一部分。如果您是某个组织的管理员,您可以在该组织内创建成员账户,也可以邀请现有账户加入该组织。您还可以对成员账户应用策略。一个成员账户一次只能属于一个组织。

问:什么是管理根?

管理根是整理 AWS 账户的起始点。管理根是组织层次结构中最顶层的容器。在此根下,您可以创建 OU 以对账户进行逻辑分组,并将这些 OU 整理到最能满足您的业务需求的层次结构中。

问:什么是组织单元 (OU)?

组织单元 (OU) 是组织内的一组 AWS 账户。OU 还可以包含允许您创建层次结构的其他 OU。例如,您可以将属于同一个部门的所有账户都归组到一个部门 OU。同样地,您也可以将运行生产服务的所有账户归组到一个生产 OU。当您需要对组织内的一组账户应用相同的控制时,OU 则非常有用。嵌套 OU 能够实现更小的管理单位。例如,在一个部门 OU 中,您可以将属于不同团队的账户归组到团队级别的不同 OU。除直接指定给这些团队级 OU 的所有控制外,它们还会继承父 OU 的策略。

问:什么是策略?

策略是指含有一个或多个语句的“文档”,这些语句用于定义您要应用于某组 AWS 账户的控件。此次发布的 AWS Organizations 支持一种名为服务控制策略 (SCP) 的特定策略类型。SCP 可定义 AWS 服务操作 (如 Amazon EC2 RunInstance),这些操作可在组织内的不同账户中使用。


问:我能否按区域定义并管理我的组织?

不能。所有组织实体均已实现全球可访问性,运行方式与 AWS Identity and Access Management (IAM) 目前的运行方式类似。无需在创建和管理组织时指定地区。AWS 账户中的用户可以在提供 AWS 服务的所有地理区域使用此项服务。

问:我能否更改用作主账户的 AWS 账户?

不能。您不能更改用作主账户的 AWS 账户,因此,请务必谨慎选择主账户。

问:如何向我的组织添加 AWS 账户?

请使用以下两种方法之一向您的组织添加 AWS 账户:

方法 1:邀请现有账户加入您的组织

  1. 以主账户管理员的身份登录,然后导航至 AWS Organizations 控制台。
  2. 选择“Accounts”选项卡。
  3. 选择“Add account”,然后选择“Invite account”。
  4. 提供您要邀请的账户的电子邮件地址或该账户的 AWS 账户 ID。

注意:您可以邀请多个 AWS 账户,只需列出所有电子邮件地址或 AWS 账户 ID 并使用逗号将其分隔开来即可。

指定的 AWS 账户将收到一封邀请其加入您组织的电子邮件。受邀 AWS 账户的管理员必须使用 AWS Organizations 控制台、AWS CLI 或 AWS Organizations API 来接受或拒绝请求。如果相应的管理员接受了您的邀请,其账户便会出现在您组织的成员账户列表中。SCP 等任何适用策略都会在新添加的账户中自动执行。例如,如果您的组织将 SCP 与组织的根关联,系统将为新创建的账户直接执行 SCP。

方法 2:在您的组织内创建 AWS 账户

  1. 以主账户管理员的身份登录,然后导航至 AWS Organizations 控制台。
  2. 选择“Accounts”选项卡。
  3. 选择“Add account”,然后选择“Create account”。
  4. 为账户提供一个名称和一个电子邮件地址。

您也可以使用 AWS 开发工具包或 AWS CLI 创建账户。对于这两种方法,添加新账户后,您可以将其移动到组织单元 (OU)。新账户会自动继承与 OU 关联的策略。

问:一个 AWS 账户能否是多个组织的成员?

不能。一个 AWS 账户一次只能是一个组织的成员。

问:我能否访问在我的组织内创建的 AWS 账户?

在 AWS 账户创建过程中,AWS Organizations 会创建一个 IAM 角色,该角色拥有新账户的全部管理权限。主账户中拥有相应权限的 IAM 用户和 IAM 角色可以担任此 IAM 角色,以获得访问新建账户的权限。

问:能否对我在组织中创建的 AWS 账户以编程方式设置多重验证 (MFA)?

不能。目前尚不支持此操作。

问:能否将通过 AWS Organizations 创建的 AWS 账户移动到其他组织?

不能。目前尚不支持此操作。

问:我是否可以删除使用 Organizations 创建的 AWS 账户并将其作为独立账户?

可以。但当您使用 AWS Organizations 控制台、API 或 CLI 命令在组织中创建账户时,系统将不会自动收集独立账户所需的任何信息。对于您想使其独立的每个账户,首先您必须接受 AWS 客户协议,选择支持计划,提供和验证所需联系信息,并提供当前的付款方式。AWS 将使用该付款方式向账户未绑定到组织期间发生的任何可结算 (非 AWS 免费套餐) AWS 活动收费。有关更多信息,请参阅 To leave an organization when all required account information has not yet been provided (console)

问:我在组织中可以管理多少个 AWS 账户?

这要视具体情况而定。如果您需要更多账户,请前往 AWS 支持中心,然后打开一个支持案例来申请增加账户数。

问:如何从组织删除 AWS 成员账户?

您可以通过以下两种方法删除成员账户:要删除使用 Organizations 创建的账户,您可能还需要提供额外的信息。如果尝试删除账户失败,请前往 AWS 支持中心,寻求有关删除账户的帮助。

方法 1:通过登录主账户删除受邀成员账户

  1. 以主账户管理员的身份登录,然后导航至 AWS Organizations 控制台。
  2. 在左窗格中,选择 Accounts
  3. 选择要删除的账户,然后选择 Remove account
  4. 如果相应的账户没有有效的付款方式,您必须提供一种付款方式。

方法 2:通过登录成员账户删除受邀成员账户

  1. 以管理员身份登录您要从组织中删除的成员账户。
  2. 导航至 AWS Organizations 控制台。
  3. 选择 Leave organization
  4. 如果相应的账户没有付款方式,您必须提供一种付款方式。

问:如何创建组织单元 (OU)?

要创建 OU,请执行以下操作:

  1. 以主账户管理员的身份登录,然后导航至 AWS Organizations 控制台。
  2. 选择 Organize accounts 选项卡。
  3. 在层次结构中导航至您要创建 OU 的位置。您可以直接在根下创建,也可以在其他 OU 中创建。
  4. 选择 Create organizational unit,然后为该 OU 提供一个名称。该名称在您的组织内必须是唯一的。

注意:稍后您可以重命名该 OU。

现在,您可以向该 OU 添加 AWS 账户了。您也可以使用 AWS CLI 和 AWS API 创建和管理 OU。

问:如何将成员 AWS 账户添加到 OU?

请按照以下步骤将成员账户添加到 OU:

  1. 在 AWS Organizations 控制台中,选择“Organize accounts”选项卡。
  2. 选择相应的 AWS 账户,然后选择“Move account”。
  3. 在对话框中,选择要将 AWS 账户移至的 OU。

或者,您也可以使用 AWS CLI 和 AWS API 将 AWS 账户添加到 OU。

问:一个 AWS 账户可以是多个 OU 的成员吗?

不可以。一个 AWS 账户一次只能是一个 OU 的成员。

问:一个 OU 可以是多个 OU 的成员吗?

不可以。一个 OU 一次只能是一个 OU 的成员。

问:我的 OU 层次结构中可以有多少层?

您可以将 OU 嵌套 5 层。包括在最低 OU 中创建的根账户和 AWS 账户在内,您的层次结构可以为 5 层。


问:如何控制谁可以管理我的组织?

您可以采用管理其他 AWS 资源访问权限的方式来控制谁可以管理您的组织及其资源:将 IAM 策略关联到主账户中的 IAM 用户、组或角色。借助 IAM 策略,您可以控制:

  • 创建组织、组织单元 (OU) 或 AWS 账户。
  • 向您的组织和 OU 添加和移动 AWS 账户以及从中删除账户。
  • 创建策略并将其与您组织的根、OU 以及各个账户关联。

问:为什么我使用 AWS Organizations 创建的每个帐户中都定义了一个 IAM 角色?

该角色能够让主账户中的用户访问新成员账户。新成员账户最初没有任何用户或密码,只能使用该角色访问。使用该角色访问成员账户并在其中创建至少一个具有管理员权限的 IAM 用户后,您就可以在需要时安全地删除该角色。有关 IAM 角色和用户的更多信息,请参阅访问具有主账户访问角色的成员账户

问:能否将管理组织的权限授予我组织内任何 AWS 成员账户中的 IAM 用户?

能,如果您想将管理整个组织或组织一部分的权限授予成员账户中的 IAM 用户,可以使用 IAM 角色。您在主账户中创建拥有适当权限的角色,并允许成员账户中的用户或角色承担该新角色。这种跨账户方法与授权一个账户中的 IAM 用户访问其他账户中资源 (如 Amazon DynamoDB 表) 的方法相同。

问:成员账户中的 IAM 用户能否登录我的组织?

不能。IAM 用户仅可登录您组织中与其关联的成员账户。

问:IAM 用户能否登录我组织中的某个 OU?

不能。IAM 用户仅可登录您组织中其关联的 AWS 账户。

问:能否控制我的 AWS 账户中,谁可以接受加入组织的邀请?

能。使用 IAM 权限,您可以授予或拒绝账户中用户接受或拒绝加入组织的邀请的权限。以下策略可授予在 AWS 账户中查看和管理邀请的权限:

{

    "Version":"2012-10-17",

    "Statement":[

        {

            "Effect": "Allow",

            "Action":[

                "organizations:AcceptHandshake",

                "organizations:DeclineHandshake",

                "organizations:DescribeHandshake",

                "organizations:ListHandshakesForAccount"

            ],

            "Resource":" *"

        }

    ]

}


问:我可以在组织的哪些级别应用策略?

您可以将策略关联到组织的根 (应用于组织内的所有账户)、各个组织单元 (OU) (应用于包括嵌套 OU 在内的 OU 中的所有账户) 或各个账户。

问:如何关联某条策略?

您可以使用以下两种方法之一关联策略:

  • 在 AWS Organizations 控制台中,导航至您要为其指定策略的实体 (根、OU 或某个账户),然后选择 Attach Policy
  • 在 Organizations 控制台中,选择 Policies 选项卡,然后执行以下任一操作:
    • 选择某个现有策略,从 Actions 下拉菜单中选择 Attach Policy,然后选择您要为其关联相应策略的根、OU 或账户。
    • 选择 Create Policy,然后在创建策略的工作流程中,选择要关联新策略的根、OU 或账户。

有关详细信息,请参阅管理策略

问:在我的组织中,策略是否会通过层次关联来继承?

是的。例如,假设您已按照应用程序开发阶段 (开发、测试和生产) 将您的 AWS 账户整理到不同 OU 中。策略 P1 已关联到组织的根,策略 P2 已关联到 DEV OU,且策略 P3 已关联到 DEV OU 中的 AWS 账户 A1。在此设置下,P1、P2 和 P3 均会应用于账户 A1。

有关详细信息,请参阅关于服务控制策略

问:AWS Organizations 支持哪些类型的策略?

目前,AWS Organizations 支持服务控制策略 (SCP)。您可以使用 SCP 定义并执行 IAM 用户、组和角色在应用 SCP 的账户中可以执行的操作。

问:什么是服务控制策略 (SCP)?

您可以使用服务控制策略 (SCP) 来控制您组织的账户中委托人 (账户根、IAM 用户和 IAM 角色) 可以访问哪些 AWS 服务操作。在决定账户中哪些委托人可以访问资源以向账户中的委托人授予访问资源的权限时,SCP 是必要条件,但不是充分条件。在已关联 SCP 的账户中,委托人的有效权限是 SCP 明确允许的操作与关联到该委托人的权限所明确允许操作的交集。例如,如果应用于某个账户的 SCP 指明允许的操作仅包括 Amazon EC2 操作,但同一个 AWS 账户中的委托人权限同时允许 EC2 操作和 Amazon S3 操作,则该委托人将可访问 EC2 操作。

成员账户中的委托人 (包括成员账户的根用户) 不能删除或更改应用于该账户的 SCP。

问:SCP 是什么样的?

SCP 遵循的规则和语法与 IAM 策略相同,但是您无法指定条件,且“Resource”部分必须等于“*”。您可以使用 SCP 拒绝或允许访问 AWS 服务操作。

白名单示例

以下 SCP 用于允许访问 AWS 账户中的所有 EC2 和 S3 服务操作。在应用此 SCP 的账户中,所有委托人 (账户根、IAM 用户和 IAM 角色) 将无法访问任何其他操作,不论他们具有哪些直接指定的 IAM 策略。这些 IAM 策略必须明确允许可供委托人访问的 EC2 或 S3 服务操作。

{

    "Version":"2012-10-17",

    "Statement":[

        {

            "Effect": "Allow",

            "Action":["EC2:*","S3:*"],

            "Resource":"*"

        }

    ]

}

黑名单示例

以下 SCP 允许访问除 S3 操作 (PutObject) 之外的所有 AWS 服务操作。在应用此 SCP 的账户中,为其直接指定相应权限的所有委托人 (账户根、IAM 用户和 IAM 角色) 可以访问除 S3 PutObject 操作之外的任何操作。

{

    "Version":"2012-10-17",

    "Statement":[

        {

            "Effect": "Allow",

            "Action": "*:*",

            "Resource":"*"

        },

        {

            "Effect":"Deny",

            "Action":"S3:PutObject",

            "Resource":"*"

        }

    ]

}

有关更多示例,请参阅使用 SCP 的策略

问:如果我将一条空 SCP 关联到某个 AWS 账户,这是否表示我在该 AWS 账户中允许所有 AWS 服务操作?

不是。SCP 的行为与 IAM 策略相同:一条空 IAM 策略等同于默认拒绝。将空 SCP 与某个账户关联相当于关联一条明确拒绝所有操作的策略。

问:能否在 SCP 中指定资源和委托人?

不能。在当前发布的版本中,您只能在 SCP 中指定 AWS 服务和操作。您可以使用 AWS 账户中的 IAM 权限策略指定资源和委托人。有关更多详细信息,请参阅服务控制策略语法

问:对于拥有 IAM 策略的组织和委托人,如果我对其应用 SCP,则其有效权限有哪些?

在应用了 SCP 的 AWS 账户中授予委托人 (账户根、IAM 用户和 IAM 角色) 的有效权限是 SCP 所允许的权限与 IAM 权限策略授予委托人的权限的交集。例如,如果某个 IAM 用户拥有 "Allow": "ec2:* " 和 "Allow": "sqs:* ",与账户关联的 SCP 拥有 "Allow": "ec2:* " 和 "Allow": "s3:* ",则该 IAM 用户的最终权限为 "Allow": "ec2:* ",该委托人无法执行任何 Amazon SQS (SCP 不允许) 操作或 S3 操作 (IAM 策略不允许)。

问:能否模拟 SCP 对 AWS 账户产生的影响?

能,IAM 策略模拟器可以包含 SCP 的影响。您可以在组织内的成员账户中使用策略模拟器,来了解 SCP 对账户中各个委托人产生的影响。成员账户中拥有适当 AWS Organizations 权限的管理员可以查看 SCP 是否影响您的成员账户中委托人 (账户根、IAM 用户和 IAM 角色) 的访问权限。

有关更多信息,请参阅服务控制策略

问:创建和管理组织时,能否不应用 SCP?

可以,由您决定要实施哪些策略。例如,您可以创建一个仅利用整合账单功能的组织。如此一来,您组织中的所有账户便具有一个付款人账户,可以自动享受默认的分级定价优惠。


问:AWS Organizations 如何收费?

AWS Organizations 不另外收费。

问:在我组织中的 AWS 成员账户下,用户产生的使用费由谁支付?

对于组织内账户的所有使用、数据和资源,由主账户的所有者负责支付相关费用。

问:AWS Organizations 与整合账单有什么异同?

整合账单的功能现已成为 AWS Organizations 功能的一部分。借助 AWS Organizations,您可以通过指定单一付款人账户,为公司中的多个 AWS 账户合并付款。有关更多详细信息,请参阅整合账单和 AWS Organizations

问:我的账单能否反映出我在组织内创建的组织单元结构?

不能。截至目前,您的账单不能反映出您在组织内定义的结构。您可以在各个 AWS 账户中使用成本分配标签对 AWS 费用进行归类和跟踪,且此项分配会显示在组织的整合账单中。