AWS Organizations

在您擴展 AWS 資源時集中管理和管控您的環境

AWS Organizations 可協助您在增長和擴展 AWS 資源時集中管理和管控環境。使用 AWS Organizations,您能以程式設計的方式建立新的 AWS 帳戶,分配資源,組建帳戶群組以組織您的工作流程,套用政策到帳戶或群組進行管控,透過使用單一付款方式為全部帳戶付款來簡化帳單。

此外,AWS Organizations 與其他 AWS 服務整合,以便您可以定義中央組態、安全機制、稽核要求以及在組織內跨帳戶資源共用的方式。所有 AWS 客戶都可以免費使用 AWS Organizations。

AWS Organizations 簡介 (1:56)

優勢

快速擴展您的工作負載

AWS Organizations 允許您以程式設計的方式建立新的 AWS 帳戶,以協助您快速擴展環境。AWS 帳戶是您的資源容器。使用多個帳戶讓您擁有內建安全邊界。還透過提供指定帳戶使您的團隊獲得提升,您可以使用 AWS CloudFormation StackSets 自動佈建資源和許可。

為不同工作負載提供自訂環境

您可以使用 Organizations 套用政策,讓您的團隊自由使用所需資源進行建置,同時保持在您所設定的安全邊界範圍內。透過將帳戶組織到組織單位 (OU),即服務於應用程式或服務的帳戶群組,您可以套用服務控制政策 (SCP) 為您的 OU 建立目標管控邊界。

跨帳戶集中保護和稽核您的環境

使用 AWS CloudTrail 管理大規模稽核,以建立包含帳戶所有事件的不可改變日誌。您可以用 AWS Backup 強制執行和監控備份要求,或跨資源、AWS 區域和 AWS Config 帳戶集中定義您的建議組態標準。您還可以使用 AWS Control Tower 建立跨帳戶安全稽核,或跨帳戶管理和檢視套用的政策。

此外,您可以透過以下方式保護您的資源:集中管理安全服務 (例如,用 Amazon GuardDuty 偵測威脅),或用 AWS IAM Access Analyzer 審查非預期存取。

簡化許可管理和存取控制

AWS Single Sign-On (SSO) 和您的 Active Directory 為您組織中的每位成員簡化以使用者為基礎的許可管理。依任務類別建立自訂許可,套用最低權限實務。您還可以套用服務控制政策 (SCP) 到使用者、帳戶或 OU,從而控制對 AWS 服務的存取。

有效率地跨帳戶佈建資源

在您的組織範圍內使用 AWS Resource Allocation Management (RAM) 共用關鍵資源,減少資源重複。Organizations 還會用 AWS License Manager 協助您履行軟體授權協議,以及用 AWS Service Catalog 維護 IT 服務和自訂產品目錄。

管理成本和優化用量

簡化成本,以及以單一帳單利用數量折扣。此外,您可以利用 AWS Compute OptimizerAWS Cost Explorer 等服務跨組織優化用量。 

運作方式

Diagram_AWS-Organizations_How-It_Works_v2

使用案例

自動化 AWS 帳戶的建立並使用群組來分類工作負載

當需要快速啟動新工作負載時,您可以自動化建立新 AWS 帳戶,新增到您組織中的使用者定義型群組,用於即時安全政策應用程式、無接觸基礎設施部署和稽核。例如,您可以建立獨立群組,將開發和生產帳戶分類,然後再使用 AWS CloudFormation StackSets 為每個群組佈建服務和許可。

實施與強制執行稽核與合規政策

您可以套用 SCP,以確保您帳戶中的使用者僅執行了符合您安全和合規要求的動作。此外,您可以使用 AWS CloudTrail 建立您組織範圍內所執行全部動作的中央日誌,用 AWS Config 跨帳戶和 AWS 區域檢視和強制執行標準資源組態,用 AWS Backup 自動套用定期備份。您還可以使用 AWS Control Tower 套用預先封裝的安全、操作和合規管控規則,用於持續管控您的 AWS 工作負載。

在鼓勵開發的同時,為您的安全團隊提供工具和存取權限

您可以使用 AWS Organizations 建立安全群組,並為他們提供您所有資源的唯讀權限,以識別和減少安全問題。此外,您還可以為他們提供管理 Amazon GuardDuty 的許可,以便他們積極監控工作負載,減少對工作負載的威脅,以及提供 IAM Access Analyzer 快速識別對您資源的非預期存取。

跨帳戶共享共用資源

AWS Organizations 讓您輕鬆跨帳戶共享關鍵的中央資源。例如,您可以共享中央 AWS Directory Service Managed Active Directory,讓應用程式可以存取您的中央身分存放區。使用 AWS Service Catalog 共享託管於指定帳戶的 IT 服務,以便使用者快速發現和部署已核准服務。除此之外,您還可以使用 AWS Resource Access Manager 一次集中定義應用程式資源並在整個組織中共享,以確保在 AWS Virtual Private Cloud (VPC) 子網路上建立應用程式資源。

最新出版物和文章

日期
  • 日期
更多...

目前找不到任何部落格文章。如需其他資源,請參閱 AWS 部落格

進一步了解 AWS 安全部落格

進一步了解 AWS Organizations

瀏覽功能頁面
準備好開始建立?
立即開始使用 AWS Organizations
還有其他問題嗎?
連絡我們