立即開始使用 AWS Organizations

試用 AWS Organizations

所有 AWS 客戶都可以免費使用 AWS Organizations。

問:什麼是 AWS Organizations?

AWS Organizations 為多個 AWS 帳戶提供以政策為基礎的管理。使用 Organizations,您可以建立帳戶群組,然後將政策套用到這些群組。Organizations 讓您集中管理多個帳戶的政策,無須自訂指令碼和手動程序。

問:AWS Organizations 能執行哪些管理動作?

AWS Organizations 能夠執行下列管理動作:

  • 建立 AWS 帳戶並將它加入組織,或將現有 AWS 帳戶加入您的組織。
  • 以稱為組織單位 (OU) 的群組來組織 AWS 帳戶。
  • 以能夠反映公司架構的層次結構來組織 OU。
  • 集中管理政策,並將這些政策連接到整個組織、OU 或個別 AWS 帳戶。

問:AWS Organizations 在此版本中啟用了哪些控制?

在這個版本中,您可以定義和執行 AWS 服務動作 (如 Amazon EC2 RunInstances),而這些動作是在組織內不同 AWS 帳戶中提供使用。

問:是否需要從合併帳單系列遷移到 AWS Organizations?

否,AWS 已經自動將合併帳單系列遷移到 AWS Organizations,且只啟用合併帳單功能。

問:如何開始使用?

若要開始使用,您必須先決定哪一個 AWS 帳戶將成為主帳戶。如果您有合併帳單系列,我們已經將合併帳單付款人 AWS 帳戶轉換成主帳戶。如果您沒有合併帳單系列,則可以建立新的 AWS 帳戶或選取現有帳戶。

使用合併帳單客戶的步驟

  1. 導覽到合併帳單主控台。AWS 會將您重新導向到新的 AWS Organizations 主控台。
  2. AWS 已自動轉換合併帳單系統,所以您可以開始使用新的組織功能。
未使用合併帳單客戶的步驟
 
您需要按照下列簡單的步驟建立新的組織:
 
  1. 使用您想要用來管理組織的 AWS 帳戶,以管理員身分登入 AWS 管理主控台
  2. 移到 AWS Organizations 主控台。
  3. 選擇 Create Organization
  4. 選取想要為組織啟用的功能。可以是 consolidated billing only featuresall features
  5. 使用下列兩個方法的其中一個,將 AWS 帳戶加入組織:
    1. 使用現有 AWS 帳戶的 ID 或關聯的電子郵件地址,邀請現有 AWS 帳戶加入組織。
    2. 建立新的 AWS 帳戶。
  6. 將 AWS 帳戶分組到 OU,建立組織層次結構的模型。
  7. 如果您選擇為組織啟用所有功能,即可撰寫控制並將它們指派給這些 OU。

另外也可以使用 AWS CLI (用於命令列存取) 或開發套件 (用於程式設計存取),執行相同的步驟來建立新的組織。

注意:您只能從並非其他組織成員的 AWS 帳戶開始建立新組織。
 
如需詳細資訊,請參閱 Getting started with AWS Organizations

問:什麼是組織?

組織是一個 AWS 帳戶的集合,您可將它們組織成層次結構並集中管理。

問:什麼是 AWS 帳戶?

AWS 帳戶是 AWS 資源的容器。您在 AWS 帳戶中建立和管理 AWS 資源,而 AWS 帳戶提供存取權和帳單的管理功能。

問:什麼是主帳戶?

主帳戶是用來建立組織的 AWS 帳戶。您可從主帳戶在組織中建立其他帳戶、邀請和管理其他帳戶的邀請以加入您的組織,還可以從組織移除帳戶。您也可以將政策連接到組織內的實體,例如管理根、組織單位 (OU) 或帳戶。主帳戶擁有付款人帳戶角色,並要負責支付組織中帳戶累計的所有費用。您無法變更組織中哪個帳戶成為主帳戶。

問:什麼是成員帳戶?

成員帳戶是主帳戶以外的 AWS 帳戶,它是組織的一部分。如果您是組織的管理員,就可以在組織中建立成員帳戶,也可邀請現有帳戶加入組織。您也可以將政策套用到成員帳戶。一個成員帳戶一次只能屬於一個組織。

問:什麼是管理根?

管理根是組織 AWS 帳戶的起點。該管理根是組織層次結構中最上層的容器。在這個根之下,您可以建立 OU 以邏輯方式分組帳戶,然後將這些 OU 組織到最適合您商業需求的層次結構中。

問:什麼是組織單位 (OU)?

組織單位 (OU) 是組織內的一組 AWS 帳戶。OU 也可以包含其他 OU,讓您建立層次結構。例如,您可以將屬於同一部門的所有帳戶分組到一個部門 OU。同樣地,您可以將執行生產服務的所有帳戶分組到一個生產 OU。OU 在您需要將相同控制套用到組織中部分帳戶時很實用。建立巢狀 OU 能夠管理更小的單位。例如,在部門 OU 中,屬於個別團隊的帳戶可以分組到團隊層級 OU。這些 OU 除了擁有直接指派給團隊層級 OU 的任何控制以外,也會繼承上一層 OU 的政策。

問:什麼是政策?

政策是包含一或多個陳述式的「文件」,這些陳述式定義了要套用到一組 AWS 帳戶的控制。在這個版本中,AWS Organizations 支援一種稱為服務控制政策 (SCP) 的特定政策。SCP 會定義在組織內不同帳戶中提供使用的 AWS 服務動作 (如 Amazon EC2 RunInstances)。


問:是否可以按區域定義和管理組織?

否。所有組織實體都可全域存取,與目前 AWS Identity and Access Management (IAM) 的運作方式類似。您在建立和管理組織時不需要指定區域。您的 AWS 帳戶中的使用者可以在提供 AWS 服務的任何地理區域中使用該服務。

問:是否可以變更哪個 AWS 帳戶做為主帳戶?

否。您不能變更由哪個 AWS 帳戶做為主帳戶。因此,您應該謹慎選擇主帳戶。

問:如何將 AWS 帳戶加入組織?

您可使用下列兩個方法之一,將 AWS 帳戶加入組織:

方法 1:邀請現有帳戶加入組織

  1. 以主帳戶的管理員身分登入,導覽到 AWS Organizations 主控台。
  2. 選擇 Accounts 標籤。
  3. 選擇 Add account,然後選擇 Invite account。
  4. 提供所要邀請帳戶的電子郵件地址或帳戶的 AWS 帳戶 ID。

注意:提供一份以逗號分隔的電子郵件地址或 AWS 帳戶 ID 的清單,即可邀請多個 AWS 帳戶。

指定的 AWS 帳戶會收到一份邀請加入您組織的電子郵件。受邀 AWS 帳戶的管理員必須使用 AWS Organizations 主控台、AWS CLI 或 Organizations API 來接受或拒絕請求。如果管理員接受您的邀請,就可在組織的成員帳戶清單中看到其帳戶。任何適用的政策 (如 SCP) 都會在新建立的帳戶上自動執行。例如,假使組織有 SCP 連接到組織的根,它將會直接在新建立的帳戶上執行。

方法 2:在組織中建立 AWS 帳戶

  1. 以主帳戶的管理員身分登入,再導覽到 AWS Organizations 主控台。
  2. 選擇 Accounts 標籤。
  3. 選擇 Add account,然後選擇 Create account。
  4. 提供帳戶的名稱及電子郵件地址。

您也可以使用 AWS SDK 或 AWS CLI 建立帳戶。針對這兩種方法,您加入新帳戶之後,就可以將新帳戶移到某個組織單位 (OU)。新帳戶會自動繼承連接到該 OU 的政策。

問:一個 AWS 帳戶是否可以是多個組織的成員?

否。一個 AWS 帳戶一次只能是一個組織的成員。

問:如何存取在組織中建立的 AWS 帳戶?

在建立 AWS 帳戶的過程中,AWS Organizations 會建立 IAM 角色,其中包含新帳戶中完整的管理許可。具有主帳戶中適當許可的 IAM 使用者和 IAM 角色可使用這個 IAM 角色來取得新建立帳戶的存取權。

問:是否可以用程式設計方式在組織中建立的 AWS 帳戶上設定多重驗證 (MFA)?

否。目前不支援此功能。

問:使用 AWS Organizations 建立的 AWS 帳戶是否可以移到另一個組織?

否。目前不支援此功能。

問:是否可移除使用 Organizations 建立的 AWS 帳戶,並將其設為獨立帳戶?

是。不過,當您使用 AWS Organizations 主控台、API 或 CLI 命令在組織建立帳戶時,並不會自動收集獨立帳戶所需的所有資訊。對於您要設為獨立帳戶的每個帳戶,首先必須接受 AWS 客戶協議、選擇支援計劃、提供並驗證必要的聯絡資訊,以及提供目前的付款方式。AWS 會使用付款方式收取帳戶未連接至組織時產生的所有應計費 (非 AWS 免費方案) AWS 活動費用。如需詳細資訊,請參閱 To leave an organization when all required account information has not yet been provided (console)

問:組織中可以管理多少個 AWS 帳戶?

視情況而不同。如果您需要更多帳戶,請移至 AWS 支援中心並建立支援案例以請求提高限制。

問:如何從組織移除 AWS 成員帳戶?

您可以使用以下兩種方式移除成員帳戶。您可能需要提供其他資訊才能移除使用 Organizations 建立的帳戶。如果嘗試移除帳戶失敗,請前往 AWS 支援中心尋求移除帳戶的協助。

方法 1:登入主帳戶來移除受邀的成員帳戶

  1. 以主帳戶的管理員身分登入,導覽到 AWS Organizations 主控台。
  2. 在左窗格中選擇 Accounts
  3. 選擇要移除的帳戶,然後選擇 Remove account
  4. 如果帳戶沒有有效的付款方法,您必須提供一個。

方法 2:登入成員帳戶來移除受邀的成員帳戶

  1. 以您要從組織移除之成員帳戶的管理員身分登入。
  2. 導覽到 AWS Organizations 主控台。
  3. 選擇 Leave organization
  4. 如果帳戶沒有付款方法,您必須提供一個。

問:如何建立組織單位 (OU)?

要建立 OU,請執行下列步驟:

  1. 以主帳戶的管理員身分登入,導覽到 AWS Organizations 主控台。
  2. 選擇 Organize accounts 標籤。
  3. 在層次結構中導覽到想要建立 OU 的位置。您可以直接在根之下建立,或在另一個 OU 內建立。
  4. 選擇 Create organizational unit 並為 OU 指定名稱。此名稱在組織中必須是唯一的。

注意:之後可以重新命名 OU。

您現在可以將 AWS 帳戶加入 OU。使用 AWS CLI 和 AWS API 也可以建立和管理 OU。

問:如何將成員 AWS 帳戶加入 OU?

按照這些步驟將成員帳戶加入 OU:

  1. 在 AWS Organizations 主控台中,選擇 Organize accounts 標籤。
  2. 選擇 AWS 帳戶,然後選擇 Move account。
  3. 在對話方塊中,選擇要將 AWS 帳戶移入的 OU。

或者,您也可以使用 AWS CLI 和 AWS API 將 AWS 帳戶加入 OU。

問:一個 AWS 帳戶是否可以是多個 OU 的成員?

否。一個 AWS 帳戶一次只能是一個 OU 的成員。

問:一個 OU 是否可以是多個 OU 的成員?

否。一個 OU 一次只能是一個 OU 的成員。

問:OU 層次結構中可有多少層次?

OU 的巢狀結構可達 5 層。包括根以及在最低 OU 中建立的 AWS 帳戶,層次結構可有 5 層深。


問:如何控制哪些人可以管理我的組織?

控制哪些人可以管理您組織及其資源的方式,與您管理其他 AWS 資源存取權的方式一樣:您將 IAM 政策連接到主帳戶中的 IAM 使用者、群組或角色。有了 IAM 政策,即可控制下列項目:

  • 建立組織、組織單位 (OU) 或 AWS 帳戶。
  • 在組織與 OU 中加入、移動和移除 AWS 帳戶。
  • 建立政策並將它們連接到組織的根、OU 和個別帳戶。

問:為什麼使用 AWS Organizations 建立的每個帳戶都會定義一個 IAM 角色?

這個角色可讓主帳戶中的使用者存取新的成員帳戶。新的成員帳戶最初沒有任何使用者或密碼,而且只能使用此角色存取。使用此角色存取成員帳戶並使用管理員許可建立至少一個 IAM 使用者之後,就能視需要安全地刪除該角色。如需 IAM 角色和使用者的詳細資訊,請參閱 Accessing a Member Account That Has a Master Account Access Role

問:是否可以將管理組織的許可授予組織中任何 AWS 成員帳戶內的 IAM 使用者?

是。如果您要將管理整個組織或一部分組織的許可授予成員帳戶中的 IAM 使用者,則可使用 IAM 角色。您在主帳戶中建立具有適當許可的角色,並允許成員帳戶中的使用者或角色擔任新的角色。這與您用來對一個帳戶中 IAM 使用者授予跨帳戶存取另一個帳戶中資源 (例如 Amazon DynamoDB 表) 的方法相同。

問:成員帳戶中的 IAM 使用者是否可以登入我的組織?

否。IAM 使用者只能登入您的組織中與他們關聯的成員帳戶。

問:IAM 使用者是否可以登入組織中的 OU?

否。IAM 使用者只能登入您的組織中與他們關聯的 AWS 帳戶。

問:是否可以控制我的 AWS 帳戶中哪些人能夠接受加入組織的邀請?

是。使用 IAM 許可,即可對您帳戶中的使用者授予接受或拒絕加入組織邀請的能力。下面的政策可授權檢視和管理 AWS 帳戶中的邀請:

{

    "Version":"2012-10-17",

    "Statement":[

        {

            "Effect":"Allow",

            "Action":[

                "organizations:AcceptHandshake",

                "organizations:DeclineHandshake",

                "organizations:DescribeHandshake",

                "organizations:ListHandshakesForAccount"

            ],

            "Resource":" *"

        }

    ]

}


問:政策可以套用到組織的哪些層級?

您可將政策連接到組織的根 (套用到組織中所有帳戶)、個別組織單位 (OU) (套用到 OU 中所有帳戶,包括巢狀的 OU) 或個別帳戶。

問:如何連接政策?

您可以使用下列兩種方式之一來連接政策:

  • 在 AWS Organizations 主控台中,導覽到想要指派政策的位置 (根、OU 或帳戶),然後選擇 Attach Policy
  • 在 Organizations 主控台中,選擇 Policies 標籤,然後執行下列其中一項:
    • 選擇現有的政策,從 Actions 下拉式清單選擇 Attach Policy,然後選擇要連接政策的根、OU 或帳戶。
    • 選擇 Create Policy,然在政策建立工作流程中,選擇想要連接新政策的根、OU 或帳戶。

如需詳細資訊,請參閱 Managing Policies

問:政策是透過組織中的層次連接來繼承嗎?

是。例如,假設您已根據應用程式開發階段 (DEV、TEST 和 PROD) 將 AWS 帳戶安排成各個 OU。政策 P1 連接到組織的根,而政策 P2 連接到 DEV OU,然後政策 P3 連接到 DEV OU 中的 AWS 帳戶 A1。透過這種設定方式,P1+P2+P3 都會套用到帳戶 A1。

如需詳細資訊,請參閱 About Service Control Policies

問:AWS Organizations 支援哪些類型的政策?

AWS Organizations 目前支援服務控制政策 (SCP)。您可以使用 SCP 來定義和執行一些動作,而套用了 SCP 之帳戶中的 IAM 使用者、群組和角色可執行這些動作。

問:什麼是服務控制政策 (SCP)?

服務控制政策 (SCP) 可讓您控制組織帳戶中的主體 (帳戶根、IAM 使用者和 IAM 角色) 可存取哪些 AWS 服務動作。在決定帳戶中哪些主體可以存取資源,以授予帳戶中主體存取資源時,SCP 是必要但並非唯一的控制要件。已連接 SCP 之帳戶中主體上的有效許可是下面兩個部分的交集,一個是 SCP 中明確允許的動作,另一個是與主體連接的許可中明確允許的動作。例如,如果套用到帳戶的 SCP 表明只允許 Amazon EC2 動作,而同一個 AWS 帳戶中主體上的許可允許 EC2 動作和 Amazon S3 動作兩者,則主體將只能存取 EC2 動作。

成員帳戶中的主體 (包括成員帳戶的根使用者) 無法移除或變更套用到該帳戶的 SCP。

問:SCP 看起來是什麼樣子?

SCP 遵循和 IAM 政策相同的規則和文法,除了您不能指定條件,而且資源部分必須等於 "*"。您可以使用 SCP 拒絕或允許存取 AWS 服務動作。

白名單範例

下面的 SCP 會授權在 AWS 帳戶中存取所有 EC2 和 S3 服務動作。套用了此 SCP 之帳戶中的所有主體 (帳戶根、IAM 使用者和 IAM 角色) 將無法存取任何其他動作,無論他們直接受到指派哪些 IAM 政策。這些 IAM 政策必須對主體明確授予 EC2 或 S3 服務動作才能存取它們。

{

    "Version":"2012-10-17",

    "Statement":[

        {

            "Effect":"Allow",

            "Action":["EC2:*","S3:*"],

            "Resource":"*"

        }

    ]

}

黑名單範例

以下 SCP 允許除了 S3 動作 PutObject 以外的所有 AWS 服務動作。套用此 SCP 的帳戶中被直接指派適當許可的所有主體 (帳戶根、IAM 使用者和 IAM 角色),可存取除了 S3 PutObject 以外的任何動作。

{

    "Version":"2012-10-17",

    "Statement":[

        {

            "Effect":"Allow",

            "Action": "*:*",

            "Resource":"*"

        },

        {

            "Effect":"Deny",

            "Action":"S3:PutObject",

            "Resource":"*"

        }

    ]

}

如需詳細資訊,請參閱 Strategies for Using SCPs

問:如果我將空的 SCP 連接到 AWS 帳戶,這是否表示我允許該 AWS 帳戶中的所有 AWS 服務動作?

否。SCP 的行為與 IAM 政策一樣:空的 IAM 政策就等於預設拒絕。將空的 SCP 連接到帳戶就等於連接一個明確拒絕所有動作的政策。

問:SCP 中是否可以指定資源和主體?

否。在目前的版本中,您只能在 SCP 中指定 AWS 服務和動作。使用 AWS 帳戶內的 IAM 許可政策可指定資源和主體。如需詳細資訊,請參閱 Service Control Policy Syntax

問:如果將 SCP 套用到組織,而主體也有 IAM 政策時,有效許可為何?

對已套用 SCP 的 AWS 帳戶中主體 (帳戶根、IAM 使用者和 IAM 角色) 授予有效許可,是 SCP 所允許的許可與 IAM 許可政策授予主體的許可之間的交集。例如,如果 IAM 使用者有 "Allow": "ec2:* " 和 "Allow": "sqs:* ",且連接到帳戶的 SCP 有 "Allow": "ec2:* " and "Allow": "s3:* ",則 IAM 使用者的結果許可是 "Allow": "ec2:* "。主體無法執行任何 Amazon SQS (SCP 不允許) 或 S3 動作 (IAM 政策未授予)。

問:是否可以模擬 AWS 帳戶上 SCP 的效果?

是,IAM 政策模擬器可以包含 SCP 的效果,而在組織的成員帳戶中使用政策模擬器則可了解該帳戶中個別主體上的效果。具有適當 AWS Organizations 許可的成員帳戶中的管理員可以看到 SCP 是否會影響成員帳戶中主體 (帳戶根、IAM 使用者和 IAM 角色) 的存取權。

如需詳細資訊,請參閱服務控制政策

問:是否可以建立和管理組織,而不強制執行 SCP?

是。您自己決定要強制執行的政策。例如,您可以建立一個組織,並只利用合併帳單功能。這可讓您為組織中所有帳戶只使用一個付款人帳戶,而且會自動獲得預設的分級定價益處。


問:AWS Organizations 如何收費?

使用 AWS Organizations 不需額外付費。

問:誰負責支付組織中 AWS 成員帳戶的使用者產生的費用?

主帳戶的擁有者負責支付組織中帳戶使用的所有用量、資料和資源的費用。

問:AWS Organizations 和合併帳單有何異同?

合併帳單功能現在是 AWS Organizations 的一部分。Organizations 讓您可以透過指定單一付款人帳戶來整合公司多個 AWS 帳戶的付款。如需詳細資訊,請參閱 Consolidated Billing and AWS Organizations

問:帳單是否可反映出我在組織中建立的組織單位結構?

否。目前帳單無法反映出您在組織中定義的結構。您可以在個別 AWS 帳戶中使用成本分配標籤來分類和追蹤 AWS 成本,而在組織的合併帳單中可以看到這個分配。