一般

什麼是 AWS Organizations?

AWS Organizations 可協助您隨著 AWS 上工作負載的成長和擴展,集中管理環境。無論您是成長中的新創公司或大型企業,Organizations 都可協助您集中管理多個 AWS 帳戶的帳單;控制存取、合規和安全,以及共享資源。

AWS Organizations 支援哪些集中管控和管理功能?

AWS Organizations 能夠執行下列功能:

  • 合併多個 AWS 帳戶的帳單
  • 自動化 AWS 帳戶的建立和管理
  • 管控對 AWS 服務、資源和區域的存取
  • 集中管理跨多個 AWS 帳戶的政策
  • 設定跨多個帳戶的 AWS 服務

AWS Organizations 可在哪些區域使用?

AWS Organizations 可在所有 AWS 商業區域和 AWS GovCloud (US) 區域使用。AWS Organizations 的商業組織服務端點位於美國東部 (維吉尼亞北部),AWS GovCloud (US) 組織服務端點則位於 AWS GovCloud (US-West)。

我該如何開始?

若要開始使用,您必須先決定哪一個 AWS 帳戶將成為 主帳戶。您可以建立新 AWS 帳戶或選取現有的帳戶。

  1. 使用您想要用來管理組織的 AWS 帳戶,以管理員身分登入 AWS 管理主控台
  2. 移到 AWS Organizations 主控台。
  3. 選擇 Create Organization (建立組織)
  4. 選取想要為組織啟用的功能。可以是 合併帳單單一功能所有功能
  5. 使用下列兩個方法的其中一個,將 AWS 帳戶加入組織:
    1. 使用現有 AWS 帳戶的 ID 或關聯的電子郵件地址,邀請現有 AWS 帳戶加入組織。
    2. 建立新的 AWS 帳戶。
  6. 將 AWS 帳戶分組到 OU,建立組織層次結構的模型。
  7. 如果您選擇為組織啟用所有功能,即可撰寫控制並將它們指派給這些 OU。
 
另外也可以使用 AWS CLI (用於命令列存取) 或開發套件 (用於程式設計存取),執行相同的步驟來建立新的組織。

注意:您只能從並非其他組織成員的 AWS 帳戶開始建立新組織。

如需詳細資訊,請參閱 AWS Organizations 入門

AWS Control Tower 和 AWS Organizations 之間有何差異?

AWS Control Tower 會擷取多個 AWS 服務 (包括 AWS Organizations) 以自動化設定安全、架構良好的環境。若您需要自動化部署具備 AWS 最佳實務的多帳戶環境,那麼 AWS Control Tower 是您的最佳選擇。若您想定義具備進階管控和管理功能的專屬自訂多帳戶環境,我們則推薦使用 AWS Organizations。

核心概念

什麼是組織?

組織是一個 AWS 帳戶的集合,您可將它們組織成層次結構並集中管理。

什麼是 AWS 帳戶?

AWS 帳戶是 AWS 資源的容器。您在 AWS 帳戶中建立和管理 AWS 資源,而 AWS 帳戶提供存取權和帳單的管理功能。

什麼是主帳戶?

主帳戶是用來建立組織的 AWS 帳戶。您可從主帳戶在組織中建立其他帳戶、邀請和管理其他帳戶的邀請以加入您的組織,還可以從組織移除帳戶。您也可以將政策連接到組織內的實體,例如管理根、組織單位 (OU) 或帳戶。主帳戶擁有付款人帳戶角色,並要負責支付組織中帳戶累計的所有費用。您無法變更組織中哪個帳戶成為主帳戶。

什麼是成員帳戶?

成員帳戶是主帳戶以外的 AWS 帳戶,它是組織的一部分。如果您是組織的管理員,就可以在組織中建立成員帳戶,也可邀請現有帳戶加入組織。您也可以將政策套用到成員帳戶。一個成員帳戶一次只能屬於一個組織。

什麼是管理根?

管理根是組織 AWS 帳戶的起點。該管理根是組織層次結構中最上層的容器。在這個根之下,您可以建立 OU 以邏輯方式分組帳戶,然後將這些 OU 組織到最適合您商業需求的層次結構中。

什麼是組織單位 (OU)?

組織單位 (OU) 是組織內的一組 AWS 帳戶。OU 也可以包含其他 OU,讓您建立層次結構。例如,您可以將屬於同一部門的所有帳戶分組到一個部門 OU。同樣地,您可以將執行生產服務的所有帳戶分組到一個生產 OU。OU 在您需要將相同控制套用到組織中部分帳戶時很實用。建立巢狀 OU 能夠管理更小的單位。例如,在部門 OU 中,屬於個別團隊的帳戶可以分組到團隊層級 OU。這些 OU 除了擁有直接指派給團隊層級 OU 的任何控制以外,也會繼承上一層 OU 的政策。

什麼是政策?

政策是包含一或多個陳述式的「文件」,這些陳述式定義了要套用到一組 AWS 帳戶的控制。在這個版本中,AWS Organizations 支援一種稱為 服務控制政策 (SCP) 的特定政策。SCP 會定義在組織內不同帳戶中提供使用的 AWS 服務動作 (如 Amazon EC2 RunInstances)。

組織 AWS 帳戶

是否可以按區域定義和管理組織?

否。所有組織實體都可全域存取,與目前 AWS Identity and Access Management (IAM) 的運作方式類似。您在建立和管理組織時不需要指定區域。您的 AWS 帳戶中的使用者可以在提供 AWS 服務的任何地理區域中使用該服務。

是否可以變更哪個 AWS 帳戶做為主帳戶?

否。您不能變更由哪個 AWS 帳戶做為主帳戶。因此,您應該謹慎選擇主帳戶。

如何將 AWS 帳戶加入組織?

您可使用下列兩個方法之一,將 AWS 帳戶加入組織:

方法 1:邀請現有帳戶加入組織

  1. 以主帳戶的管理員身分登入,導覽到 AWS Organizations 主控台。
  2. 選擇 Accounts 標籤。
  3. 選擇 Add account,然後選擇 Invite account。
  4. 提供所要邀請帳戶的電子郵件地址或帳戶的 AWS 帳戶 ID。

注意:提供一份以逗號分隔的電子郵件地址或 AWS 帳戶 ID 的清單,即可邀請多個 AWS 帳戶。

指定的 AWS 帳戶會收到一份邀請加入您組織的電子郵件。受邀 AWS 帳戶的管理員必須使用 AWS Organizations 主控台、AWS CLI 或 Organizations API 來接受或拒絕請求。如果管理員接受您的邀請,就可在組織的成員帳戶清單中看到其帳戶。任何適用的政策 (如 SCP) 都會在新建立的帳戶上自動執行。例如,假使組織有 SCP 連接到組織的根,它將會直接在新建立的帳戶上執行。

方法 2:在組織中建立 AWS 帳戶

  1. 以主帳戶的管理員身分登入,再導覽到 AWS Organizations 主控台。
  2. 選擇 Accounts 標籤。
  3. 選擇 Add account,然後選擇 Create account。
  4. 提供帳戶的名稱及電子郵件地址。
您也可以使用 AWS SDK 或 AWS CLI 建立帳戶。針對這兩種方法,您加入新帳戶之後,就可以將新帳戶移到某個組織單位 (OU)。新帳戶會自動繼承連接到該 OU 的政策。

一個 AWS 帳戶是否可以是多個組織的成員?

否。一個 AWS 帳戶一次只能是一個組織的成員。

如何存取在組織中建立的 AWS 帳戶?

在建立 AWS 帳戶的過程中,AWS Organizations 會建立 IAM 角色,其中包含新帳戶中完整的管理許可。具有主帳戶中適當許可的 IAM 使用者和 IAM 角色可使用這個 IAM 角色來取得新建立帳戶的存取權。

是否可以用程式設計方式在組織中建立的 AWS 帳戶上設定多重因素認證 (MFA)?

否。目前不支援此功能。

使用 AWS Organizations 建立的 AWS 帳戶是否可以移到另一個組織?

是。不過,您必須先從您的組織中移除帳戶,並將其設為獨立帳戶 (如下所述)。將其設為獨立帳戶後,即可邀請該帳戶加入其他組織。

是否可移除使用 Organizations 建立的 AWS 帳戶,並將其設為獨立帳戶?

是。當您使用 AWS Organizations 主控台、API 或 CLI 命令在組織中建立帳戶時,AWS 不會向獨立帳戶收集所有必要資訊。針對您想設為獨立的每個帳戶,您必須更新此資訊,其中可能包括:提供聯絡資訊、同意 AWS 客戶協議、提供有效付款方式以及選擇支援計劃選項。AWS 會使用付款方式收取帳戶未連接至組織時產生的所有應計費 (非 AWS 免費方案) AWS 活動費用。如需詳細資訊,請參閱「從您的組織移除成員帳戶」。

組織中可以管理多少個 AWS 帳戶?

視情況而不同。如果您需要更多帳戶,請移至 AWS Support 中心 並建立支援案例以請求提高限制。

如何從組織移除 AWS 成員帳戶?

您可以使用以下兩種方式移除成員帳戶。您可能需要提供其他資訊才能移除使用 Organizations 建立的帳戶。如果嘗試移除帳戶失敗,請前往 AWS Support 中心 尋求移除帳戶的協助。

方法 1:登入主帳戶來移除受邀的成員帳戶

  1. 以主帳戶的管理員身分登入,導覽到 AWS Organizations 主控台。
  2. 在左窗格中選擇 Accounts
  3. 選擇要移除的帳戶,然後選擇 Remove account (移除帳戶)
  4. 如果帳戶沒有有效的付款方法,您必須提供一個。
 
方法 2:登入成員帳戶來移除受邀的成員帳戶
 
  1. 以您要從組織移除之成員帳戶的管理員身分登入。
  2. 導覽到 AWS Organizations 主控台。
  3. 選擇 Leave organization (離開組織)
  4. 如果帳戶沒有付款方法,您必須提供一個。

如何建立組織單位 (OU)?

要建立 OU,請執行下列步驟:

  1. 以主帳戶的管理員身分登入,導覽到 AWS Organizations 主控台。
  2. 選擇 Organize accounts (組織帳戶) 標籤。
  3. 在層次結構中導覽到想要建立 OU 的位置。您可以直接在根之下建立,或在另一個 OU 內建立。
  4. 選擇 Create organizational unit (建立組織單位) 並為 OU 指定名稱。此名稱在組織中必須是唯一的。

注意:之後可以重新命名 OU。

您現在可以將 AWS 帳戶加入 OU。使用 AWS CLI 和 AWS API 也可以建立和管理 OU。

如何將成員 AWS 帳戶加入 OU?

按照這些步驟將成員帳戶加入 OU:

  1. 在 AWS Organizations 主控台中,選擇 Organize accounts 標籤。
  2. 選擇 AWS 帳戶,然後選擇 Move account。
  3. 在對話方塊中,選擇要將 AWS 帳戶移入的 OU。

或者,您也可以使用 AWS CLI 和 AWS API 將 AWS 帳戶加入 OU。

一個 AWS 帳戶是否可以是多個 OU 的成員?

否。一個 AWS 帳戶一次只能是一個 OU 的成員。

一個 OU 是否可以是多個 OU 的成員?

否。一個 OU 一次只能是一個 OU 的成員。

OU 層次結構中可有多少層次?

OU 的巢狀結構可達 5 層。包括根以及在最低 OU 中建立的 AWS 帳戶,層次結構可有 5 層深。

控制管理

政策可以套用到組織的哪些層級?

您可將政策連接到組織的根 (套用到組織中所有帳戶)、個別組織單位 (OU) (套用到 OU 中所有帳戶,包括巢狀的 OU) 或個別帳戶。

如何連接政策?

您可以使用下列兩種方式之一來連接政策:

  • 在 AWS Organizations 主控台中,導覽到想要指派政策的位置 (根、OU 或帳戶),然後選擇 Attach Policy (連接政策)
  • 在 Organizations 主控台中,選擇 Policies (政策) 標籤,然後執行下列其中一項:
    • 選擇現有的政策,從 Actions (動作) 下拉式清單選擇 Attach Policy (連接政策),然後選擇要連接政策的根、OU 或帳戶。
    • 選擇 Create Policy (建立政策),然在政策建立工作流程中,選擇想要連接新政策的根、OU 或帳戶。

如需詳細資訊,請參閱 Managing Policies (管理政策)

政策是透過組織中的層次連接來繼承嗎?

是。例如,假設您已根據應用程式開發階段 (DEV、TEST 和 PROD) 將 AWS 帳戶安排成各個 OU。政策 P1 連接到組織的根,而政策 P2 連接到 DEV OU,然後政策 P3 連接到 DEV OU 中的 AWS 帳戶 A1。透過這種設定方式,P1+P2+P3 都會套用到帳戶 A1。

如需詳細資訊,請參閱 關於服務控制政策

AWS Organizations 支援哪些類型的政策?

AWS Organizations 目前支援服務控制政策 (SCP)。您可以使用 SCP 來定義和執行一些動作,而套用了 SCP 之帳戶中的 IAM 使用者、群組和角色可執行這些動作。

什麼是服務控制政策 (SCP)?

服務控制政策 (SCP) 可讓您控制組織帳戶中的主體 (帳戶根、IAM 使用者和 IAM 角色) 可存取哪些 AWS 服務動作。在決定帳戶中哪些主體可以存取資源,以授予帳戶中主體存取資源時,SCP 是必要但並非唯一的控制要件。已連接 SCP 之帳戶中主體上的有效許可是下面兩個部分的交集,一個是 SCP 中明確允許的動作,另一個是與主體連接的許可中明確允許的動作。例如,如果套用到帳戶的 SCP 表明只允許 Amazon EC2 動作,而同一個 AWS 帳戶中主體上的許可允許 EC2 動作和 Amazon S3 動作兩者,則主體將只能存取 EC2 動作。

成員帳戶中的主體 (包括成員帳戶的根使用者) 無法移除或變更套用到該帳戶的 SCP。

SCP 看起來是什麼樣子?

SCP 遵循與 IAM 政策相同的規則和文法。如需有關 SCP 語法的資訊,請參閱 SCP 語法。例如 SCP,請參閱服務控制政策範例


{
"Version":"2012-10-17"、
"Statement":[
{
"Effect":"Allow"、
"Action":["EC2:*","S3:*"]、
"Resource":"*"
}
]
}

封鎖名單範例

以下 SCP 允許除了 S3 動作 PutObject 以外的所有 AWS 服務動作。套用此 SCP 的帳戶中被直接指派適當許可的所有主體 (帳戶根、IAM 使用者和 IAM 角色),可存取除了 S3 PutObject 以外的任何動作。

{
"Version":"2012-10-17"、
"Statement":[
{
"Effect":"Allow"、
"Action": "*:*"、
"Resource":"*"
},
{
"Effect":"Deny"、
"Action":"S3:PutObject"、
"Resource":"*"
}
]
}

如需更多範例,請參閱 Strategies for Using SCPs (使用 SCP 的策略)

如果我將空的 SCP 連接到 AWS 帳戶,這是否表示我允許該 AWS 帳戶中的所有 AWS 服務動作?

否。SCP 的行為與 IAM 政策一樣:空的 IAM 政策就等於預設拒絕 (DENY)。將空的 SCP 連接到帳戶就等於連接一個明確拒絕所有動作的政策。

如果將 SCP 套用到組織,而主體也有 IAM 政策時,有效許可為何?

對已套用 SCP 的 AWS 帳戶中主體 (帳戶根、IAM 使用者和 IAM 角色) 授予有效許可,是 SCP 所允許的許可與 IAM 許可政策授予主體的許可之間的交集。例如,如果 IAM 使用者有 "Allow": "ec2:* " 和 "Allow": "sqs:* ",且連接到帳戶的 SCP 有 "Allow": "ec2:* " and "Allow": "s3:* ",則 IAM 使用者的結果許可是 "Allow": "ec2:* "。主體無法執行任何 Amazon SQS (SCP 不允許) 或 S3 動作 (IAM 政策未授予)。

是否可以模擬 AWS 帳戶上 SCP 的效果?

是,IAM 政策模擬器可以包含 SCP 的效果,而在組織的成員帳戶中使用政策模擬器則可了解該帳戶中個別主體上的效果。具有適當 AWS Organizations 許可的成員帳戶中的管理員可以看到 SCP 是否會影響成員帳戶中主體 (帳戶根、IAM 使用者和 IAM 角色) 的存取權。

如需詳細資訊,請參閱 服務控制政策

是否可以建立和管理組織,而不強制執行 SCP?

是。您自己決定要強制執行的政策。例如,您可以建立一個組織,並只利用合併帳單功能。這可讓您為組織中所有帳戶只使用一個付款人帳戶,而且會自動獲得預設的分級定價益處。

計費

AWS Organizations 如何收費?

使用 AWS Organizations 不需額外付費。

誰負責支付組織中 AWS 成員帳戶的使用者產生的費用?

主帳戶的擁有者負責支付組織中帳戶使用的所有用量、資料和資源的費用。

帳單是否可反映出我在組織中建立的組織單位結構?

否。目前帳單無法反映出您在組織中定義的結構。您可以在個別 AWS 帳戶中使用 成本分配標籤 來分類和追蹤 AWS 成本,而在組織的合併帳單中可以看到這個分配。

整合的 AWS 服務

為何我應將 AWS 服務與 AWS Organizations 整合?

AWS 服務已與 AWS Organizations 整合,以便為客戶提供對其組織中帳戶的集中管理和設定。這可讓您從單一位置跨帳戶管理服務,從而簡化部署和設定。

哪些 AWS 服務目前已與 AWS Organizations 整合?

如需與 AWS Organizations 整合的 AWS 服務的清單,請參閱可搭配 AWS Organizations 來使用的 AWS 服務

我如何啟用 AWS 服務整合?

若要開始使用與 AWS Organizations 整合的 AWS 服務,請導覽至該服務並啟用整合。

進一步了解 AWS Organizations

瀏覽功能頁面
準備好開始建立?
立即開始使用 AWS Organizations
還有其他問題嗎?
聯絡我們