- 管理和治理›
- AWS Organizations›
- 功能
AWS Organizations 功能
页面主题
特征
全部打开
AWS 账户是权限、安全性、成本和工作负载的自然边界。扩展云环境时,使用多账户环境是建议的最佳实践。您可以使用 AWS 命令行接口 (CLI)、软件开发工具包或 API 以编程方式创建新账户,从而简化账户创建,并使用 A WS CloudFor mation StackSets 为这些账户集中配置推荐的资源和权限。
当您创建新账户时,您可以将它们分组到组织单位 (OU) 或者提供单一应用程序或服务的账户组中。应用标签策略以分类或跟踪您组织内的资源,并为用户或应用程序提供基于属性的访问控制。此外,您还可以将支持 AWS 服务的责任委托给账户,以便用户可以代表您的组织管理它们。
您可以为您的安全团队集中提供工具和访问权,以代表组织管理安全性需求。例如,您可以提供跨账户的只读安全访问权限,使用 Amazon GuardDuty 检测和缓解威胁,使用 IAM 访问分析器查看对资源的意外访问,使用 Amazon Macie 保护敏感数据。
设置 AWS IAM 身份中心,使用您的首选身份源提供对 AWS 账户和资源的访问权限,并根据单独的工作角色自定义权限。 您可以使用服务控制策略(SCP)对组织内各个账户的委托人集中实施一致的访问控制,也可以使用资源控制策略(RCP)对组织内各个账户的资源集中实施一致的访问控制。此外,您还可以使用聊天机器人策略来控制聊天应用程序(如 Slack 和 Microsoft Teams)对组织账户的访问权限。
您可以使用 AWS 资源访问管理器 (RAM) 在组织内共享 AWS 资源。例如,您可以创建 AWS 虚拟私有云 (VPC) 子网一次,然后在组织内共享。您还可以通过 AWS 许可证管理器集中同意软件许可证,并通过 A WS 服务目录跨账户共享 IT 服务和自定义产品目录。
您可以应用声明性策略来执行持久意图,例如在整个组织中执行 AWS 服务的基准配置。一旦附加了声明性策略,无论授权环境如何,在添加和执行新功能或 API 时,配置都将保持不变。
您可以跨账户激活 AWS CloudTrail,这会创建云环境中所有活动的日志,成员账户无法关闭或修改这些活动。此外,您可以使用 AWS Backup 设置策略以按您指定的节奏强制备份,或者使用 AWS Config 为跨账户和 AWS 区域的资源定义推荐的配置设置。
组织为您提供单一整合账单。此外,您可以使用 AWS Cost Explorer 查看跨账户资源的使用情况和跟踪成本,并使用 AWS Compute Op timizer 优化计算资源的使用。
找到今天要查找的内容了吗?
请提供您的意见,以便我们改进网页内容的质量。