AWS Organizations 热门2016年〜
集中管理多个 AWS 账户的服务
它能做什么
AWS Organizations 是一项将多个 AWS 账户作为组织统一管理的服务。提供账户创建、分组(OU)、通过服务控制策略(SCP)进行权限控制、以及通过统一账单进行成本管理的功能。
使用场景
用于实施多账户策略(生产、开发、预发布环境分离)、按部门管理账户、在组织范围内应用安全策略、利用统一账单获取批量折扣等。
日常类比
可以比作企业集团的控股公司。控股公司(管理账户)统管子公司(成员账户),制定集团整体规则(SCP),统一财务(账单)。各子公司独立运营业务,同时遵循集团治理。
什么是 Organizations
AWS Organizations 是 AWS 多账户管理的基础服务。AWS 最佳实践建议按工作负载或环境分离账户。使用 Organizations 可以层级化管理这些账户,并应用统一的治理。Organizations 本身免费使用。
OU 与服务控制策略
组织单元(OU)是对账户进行分组的机制。例如可以分为生产 OU、开发 OU、安全 OU 等。服务控制策略(SCP)定义应用于 OU 或账户的权限上限。可以通过 SCP 禁止使用特定区域或限制特定服务的使用。 如需拓展 OU 和服务控制策略方面的知识,可参考专业书籍(Amazon)。
开始使用
在 Organizations 控制台点击创建组织,当前账户即成为管理账户。通过创建账户或邀请账户添加成员账户。创建 OU 并放置账户,应用 SCP 建立治理。配合 Control Tower 使用,可以自动构建基于最佳实践的多账户环境。
注意事项
- Organizations 本身免费使用,但各成员账户使用的 AWS 服务会分别产生费用
- SCP 不授予权限,只设定权限上限。实际权限需要通过 IAM 策略另行授予
