AWS Organizations
将多个 AWS 账户作为组织统一管理,通过账单合并和服务控制策略实施治理的账户管理服务
概述
AWS Organizations 是一项将多个 AWS 账户作为组织(Organization)统一管理的服务。通过组织单元(OU: Organizational Unit)对账户进行层级分组,使用服务控制策略(SCP)控制各账户可执行操作的上限。通过统一账单管理(Consolidated Billing)将所有账户的费用汇总到管理账户,最大化批量折扣优惠。Control Tower、Config、GuardDuty、Security Hub 等众多 AWS 服务与 Organizations 集成,是多账户策略的基础服务。
组织结构设计与 OU 层级
Organizations 的组织结构由根(Root)、OU 和账户三层构成。根是组织的顶层容器,其下创建 OU 进行层级分组。推荐的 OU 设计是按工作负载类型(生产、开发、沙箱)和功能(安全、日志、共享服务)分离。SCP 附加到 OU 时,该 OU 下所有账户和子 OU 继承该策略。SCP 是权限的上限(天花板),不授予权限而是限制可使用的最大范围。例如,在沙箱 OU 上附加禁止创建高成本实例类型的 SCP,可防止开发者意外产生高额费用。SCP 的评估逻辑是:从根到账户路径上所有 SCP 的交集成为有效权限。因此在中间 OU 设置过于严格的 SCP 会影响所有下级账户,需要谨慎设计。
统一账单与成本管理
Organizations 的统一账单将所有成员账户的 AWS 使用费汇总到管理账户的单一发票中。这带来批量折扣(S3、EC2 等的阶梯定价)和 Reserved Instance/Savings Plans 的跨账户共享两大优势。RI 和 Savings Plans 在购买账户未充分使用时自动应用于其他成员账户,最大化折扣利用率。Cost Explorer 可按账户、OU、标签维度分析成本,AWS Budgets 可为每个账户或 OU 设置预算告警。实践中,为每个项目或团队创建专用账户,通过标签和账户边界实现明确的成本归属。管理账户应仅用于组织管理,不部署工作负载(安全最佳实践)。
委托管理员与服务集成
Organizations 与众多 AWS 服务集成,实现跨账户的集中管理。委托管理员功能允许将 Security Hub、GuardDuty、Config 等服务的管理权限委托给安全账户等专用账户,而非管理账户。这遵循最小权限原则,避免管理账户权限过度集中。服务的可信访问(Trusted Access)启用后,该服务可自动在成员账户中创建服务关联角色并执行操作。例如 CloudFormation StackSets 可从管理账户向所有成员账户部署资源。新账户创建时,通过 Organizations API 自动创建并移动到指定 OU,结合 Control Tower 的 Account Factory 可实现标准化的账户自动供应。