Чтобы улучшить контроль над своей средой AWS, можно использовать AWS Organizations для создания групп аккаунтов с последующим применением политик к группе. Это нужно для того, чтобы правильные политики применялись к разным аккаунтам без необходимости в специальных скриптах и ручных процессах.

Сервис AWS Organizations дает возможность выбирать, какие сервисы и действия разрешены в ваших аккаунтах. Чтобы ограничить разрешения для пользователей и ролей AWS Identity and Access Management (IAM), можно использовать политики управления сервисами (SCP). Например, можно применить политику SCP, которая запрещает пользователям в аккаунтах вашей организации запускать любые ресурсы в регионах, которые не разрешены явным образом.

Сервис AWS Organizations помогает упростить ИТ-операции за счет автоматизации создания аккаунтов AWS и управления ими. API сервиса Organizations позволяют программным способом создавать новые аккаунты и включать новые аккаунты в группы. Политики, закрепленные за группой, будут автоматически применяться к новому аккаунту. Например, можно автоматизировать создание новых аккаунтов для изоляции рабочих нагрузок или приложений и предоставлять сущностям таких аккаунтов доступ только к необходимым сервисам AWS.

AWS Organizations помогает настраивать сервисы AWS и совместно использовать ресурсы во всех аккаунтах организации. Например, сервис Organizations интегрируется с AWS Single Sign-on, давая вам простую возможность централизованно предоставлять доступ всем вашим разработчикам к аккаунтам вашей организации. Вы можете централизованно внести изменения в разрешения на доступ, после чего они будут автоматически применены к аккаунтам вашей организации.

С помощью AWS Organizations можно установить единый способ оплаты для всех аккаунтов AWS в рамках организации, применив консолидированную оплату. Благодаря функции консолидированной оплаты вам доступен объединенный список начислений по всем вашим аккаунтам, а также вы можете воспользоваться ценовыми преимуществами, получаемыми за счет общего использования, например оптовыми скидками на Amazon EC2 и Amazon S3.

Используйте AWS Organizations для ограничения разрешений с помощью политики управления сервисами (SCP), чтобы пользователи в ваших аккаунтах могли выполнять только те действия, которые соответствуют требованиям ваших корпоративных политик безопасности и соответствия требованиям. Кроме того, вы можете настроить централизованную запись в журнал всех действий, выполняемых в вашей организации, с помощью AWS CloudTrail, а также централизованно собирать данные для правил, которые были заданы с помощью AWS Config. Это дает вам возможность проверять свою среду на предмет соответствия нормативным требованиям и быстро реагировать на изменения.

Сервис AWS Organizations облегчает совместное использование критически важных центральных ресурсов во всех аккаунтах. Например, можно предоставить общий доступ к ресурсу Active Directory под управлением AWS Directory Service для всех аккаунтов организации, чтобы приложения могли получать доступ к центральному хранилищу удостоверений. Кроме того, ресурсы приложений во всех ваших аккаунтах могут создаваться в подсетях AWS Virtual Private Cloud (VPC). Для этого выполняется их однократное централизованное определение и предоставление к ним общего доступа во всей организации с помощью средства AWS Resource Access Manager.

Сервис AWS Organizations позволяет автоматизировать создание новых аккаунтов AWS, когда необходим быстрый запуск новых рабочих нагрузок. Для простоты классификации эти новые аккаунты можно добавлять в определенные пользователем группы. Например, можно создать отдельные группы для классификации аккаунтов, связанных с разработкой и производством, а затем применить к группе производства политику управления сервисами (SCP), которая разрешает доступ только к тем сервисам AWS, которые необходимы для производственных рабочих нагрузок.