AWS Organizations 常見問答集

一般問題

AWS Organizations 可協助您隨著擴展 AWS 上的工作負載,集中地管控環境。無論您是成長中的新創公司或是大型企業,Organizations 皆能協助您以程式設計方式建立新帳戶和分配資源、為所有帳戶設定單一付款方式以簡化帳單、建立帳戶群組以組織工作流程,和套用政策到這些群組以進行管控。此外,AWS Organizations 與其他 AWS 服務整合,以便您可以定義中央組態、安全機制以及在組織內跨帳戶資源共用的方式。

AWS Organizations 能夠執行下列功能:

  • 自動化 AWS 帳戶的建立和管理,及透過 AWS CloudFormation Stacksets 佈建資源
  • 以 AWS 安全服務的政策和管理維護安全的環境
  • 管控對 AWS 服務、資源和區域的存取
  • 集中管理跨多個 AWS 帳戶的政策
  • 為您的環境進行合規稽核 
  • 以合併帳單檢視並管理成本 
  • 設定跨多個帳戶的 AWS 服務

所有 AWS 商業區域、AWS GovCloud (US) 區域和中國區域皆可使用 AWS Organizations;AWS Organizations 服務端點位於適用於商業組織的美國東部 (維吉尼亞北部)、適用於 AWS GovCloud (US) 組織的 AWS GovCloud (美國西部) 以及由 NWCD 營運的 AWS 中國 (寧夏) 區域。

若要開始使用,您必須先決定以哪一個 AWS 帳戶成為管理帳戶 (原先稱為主帳戶)。您可以建立新 AWS 帳戶或選取現有的帳戶。

  1. 使用您想要用來管理組織的 AWS 帳戶,以管理員身分登入 AWS 管理主控台
  2. 移到 AWS Organizations 主控台。
  3. 選擇建立組織
  4. 選取想要為組織啟用的功能。可以是所有功能合併帳單單一功能。 如果您想利用 AWS Organizations 所有的集中管理功能,請建議選擇所有功能
  5. 使用下列兩個方法的其中一個,將 AWS 帳戶加入組織: 
    1. 使用現有 AWS 帳戶的 ID 或關聯的電子郵件地址,邀請現有 AWS 帳戶加入組織。
    2. 建立新的 AWS 帳戶。
  6. 將 AWS 帳戶分組到 OU,建立組織層次結構的模型。
  7. 為 OU、帳戶或組織建立政策 (例如服務控制政策或備份政策) (限定具備所有功能的組織可用)。
  8. 啟用與 AWS Organizations 整合的 AWS 服務

另外也可以使用 AWS CLI (用於命令列存取) 或開發套件執行相同的步驟來建立新的組織。

注意:您只能從並非其他組織成員的 AWS 帳戶開始建立新組織。

如需詳細資訊,請參閱 AWS Organizations 入門

AWS Control Tower

AWS Control Tower 建立在例如 AWS Organizations 的 AWS 服務之上,提供設定和管控全新、安全、多帳戶 AWS 環境最簡單的方法。其訂定一個定位區,以最佳實務藍圖為基礎,成為架構完善的多帳戶環境,能用您可選擇的護欄進行管控。護欄是 SCP 和 AWS Config 規則,針對安全、合規和操作實作管控。

AWS Control Tower 在 AWS Organizations 之上提供抽象、自動化且規範性的體驗。其自動將 AWS Organizations 設定為基礎的 AWS 服務,以組織帳戶和使用 SCP 實作預防性的護欄。Control Tower 與 Organizations 共同運作良好。您可以使用 Control Tower 設定環境並設置護欄,接著再用 AWS Organizations 進一步建立自訂政策 (例如標籤、備份或 SCP),集中控制對多個 AWS 帳戶的使用 AWS 服務與資源。

護欄為預先封裝的 SCP 和 AWS Config 管控規則,用於安全、操作和合規,客戶選擇後可套用至全企業或特定的帳戶群組。護欄以普通英文表示,可對您的 AWS 環境執行特定管控政策,並且能在組織單位 (OU) 內啟用。

AWS Control Tower 適合想以內建的最佳實務來建立或管理多帳戶 AWS 環境的客戶。其提供規範性的指引以大規模地管控您的 AWS 環境,讓您能掌控環境,同時不犧牲 AWS 為建立者帶來的速度和敏捷性。如果您要建立新的 AWS 環境、展開 AWS 之旅、開創新的雲端計劃、對 AWS 完全是新手,或現有多帳戶 AWS 環境,皆能從 AWS Control Tower 獲益。

核心概念

組織是一個 AWS 帳戶的集合,您可將它們組織成層次結構並集中管理。

AWS 帳戶是 AWS 資源的容器。您在 AWS 帳戶中建立和管理 AWS 資源,而 AWS 帳戶提供存取權和帳單的管理功能。

使用多個 AWS 帳戶是擴展環境的最佳實務,因為此方式能為費用提供自然的帳單邊界、為安全將資源區隔、賦予個人與團隊的彈性,還能夠適應新的業務流程。

管理帳戶是用來建立組織的 AWS 帳戶。您可從管理帳戶在組織中建立其他帳戶、邀請其他帳戶加入您組織並和管理這些邀請,還可以從組織移除帳戶。您也可以將政策連接到組織內的實體,例如管理根、組織單位 (OU) 或帳戶。管理帳戶是組織的最終擁有者,對於安全、基礎架構和財務政策有最後控制權。此帳戶擁有付款人帳戶角色,並負責支付組織中帳戶累計的所有費用。您無法變更以組織中哪個帳戶作為管理帳戶。

成員帳戶是管理帳戶以外的 AWS 帳戶,它是組織的一部分。如果您是組織的管理員,就可以在組織中建立成員帳戶,也可邀請現有帳戶加入組織。您也可以將政策套用到成員帳戶。一個成員帳戶一次只能屬於一個組織。

管理根包含在管理帳戶內,是組織 AWS 帳戶的起點。該管理根是組織層次結構中最上層的容器。在這個根之下,您可以建立 OU 以邏輯方式分組帳戶,然後將這些 OU 組織到最適合您商業需求的層次結構中。

組織單位 (OU) 是組織內的一組 AWS 帳戶。OU 也可以包含其他 OU,讓您建立層次結構。例如,您可以將屬於同一部門的所有帳戶分組到一個部門 OU。同樣地,您可以將執行安全服務的所有帳戶分組到一個安全 OU。OU 在您需要將相同控制套用到組織中部分帳戶時很實用。建立巢狀 OU 能夠管理更小的單位。例如,您可為各個工作負載建立 OU,接著在每個工作負載 OU 中各建立兩個巢狀 OU,使得生產工作負載與前期生產分開。這些 OU 除了擁有直接指派給團隊層級 OU 的任何控制以外,也會繼承上一層 OU 的政策。

政策是包含一或多個陳述式的「文件」,這些陳述式定義了要套用到一組 AWS 帳戶的控制。AWS Organizations 適用下列政策:

  • 備份政策—要求在指定 Cadence 上使用 AWS Backup
  • 標籤政策—定義標籤鍵值和允許的值
  • AI 服務退出政策—控制 AI 服務如何儲存或使用內容
  • 服務控制政策 (SCP)—SCP 可定義在組織內不同帳戶中提供使用的 AWS 服務動作 (如 Amazon EC2 RunInstances)。

組織 AWS 帳戶

除於中國管理的組織例外,所有組織實體都可全域存取,與目前 AWS Identity and Access Management (IAM) 的運作方式類似。您在建立與管理組織時無需指定 AWS 區域,但需要為在中國使用的帳戶建立分開的組織。您的 AWS 帳戶中的使用者可以在提供 AWS 服務的任何地理區域中使用該服務。

否。您不能變更由哪個 AWS 帳戶做為管理帳戶。因此,您應該謹慎選擇管理帳戶。

您可使用下列兩個方法之一,將 AWS 帳戶加入組織:

方法 1:邀請現有帳戶加入組織

1.以管理帳戶的管理員身分登入,導覽到 AWS Organizations 主控台。

2.選擇 Accounts 標籤。

3.選擇 Add account,然後選擇 Invite account。

4.提供所要邀請帳戶的電子郵件地址或帳戶的 AWS 帳戶 ID。

注意:提供一份以逗號分隔的電子郵件地址或 AWS 帳戶 ID 的清單,即可邀請多個 AWS 帳戶。

指定的 AWS 帳戶會收到一份邀請加入您組織的電子郵件。受邀 AWS 帳戶的管理員必須使用 AWS Organizations 主控台、AWS CLI 或 Organizations API 來接受或拒絕請求。如果管理員接受您的邀請,就可在組織的成員帳戶清單中看到其帳戶。任何適用的政策 (如 SCP) 都會在新增的帳戶上自動執行。例如,假使組織有 SCP 連接到組織的根,它將會直接在新建立的帳戶上執行。

方法 2:在組織中建立 AWS 帳戶

1.以管理帳戶的管理員身分登入,導覽到 AWS Organizations 主控台。

2.選擇 Accounts 標籤。

3.選擇 Add account,然後選擇 Create account。

4.提供帳戶的名稱及電子郵件地址。

您也可以使用 AWS SDK 或 AWS CLI 建立帳戶。針對這兩種方法,您加入新帳戶之後,就可以將新帳戶移到某個組織單位 (OU)。新帳戶會自動繼承連接到該 OU 的政策。

否。一個 AWS 帳戶一次只能是一個組織的成員。

在建立 AWS 帳戶的過程中,AWS Organizations 會建立 IAM 角色,其中包含新帳戶中完整的管理許可。具有主帳戶中適當許可的 IAM 使用者和 IAM 角色可使用這個 IAM 角色來取得新建立帳戶的存取權。

否。目前不支援此功能。

是。不過,您必須先從您的組織中移除帳戶,並將其設為獨立帳戶 (如下所述)。將其設為獨立帳戶後,即可邀請該帳戶加入其他組織。

是。當您使用 AWS Organizations 主控台、API 或 CLI 命令在組織中建立帳戶時,AWS 不會向獨立帳戶收集所有必要資訊。針對您想設為獨立的每個帳戶,您必須更新此資訊,其中可能包括:提供聯絡資訊、提供有效付款方式,以及選擇支援計劃選項。AWS 會使用付款方式收取帳戶未連接至組織時產生的所有應計費 (非 AWS 免費方案) AWS 活動費用。如需詳細資訊,請參閱從組織移除成員帳戶

視情況而不同。如果您需要更多帳戶,請移至 AWS 支援中心並建立支援案例以請求提高限制。

您可以使用以下兩種方式移除成員帳戶。您可能需要提供其他資訊才能移除使用 Organizations 建立的帳戶。如果嘗試移除帳戶失敗,請移至 AWS 支援中心尋求移除帳戶的協助。

方法 1:登入管理帳戶來移除受邀的成員帳戶

1.以主帳戶的管理員身分登入,導覽到 AWS Organizations 主控台。

2.在左窗格中選擇帳戶

3.選擇要移除的帳戶,然後選擇移除帳戶

4.如果帳戶沒有有效的付款方法,您必須提供一個。

方法 2:登入成員帳戶來移除受邀的成員帳戶

1.以您要從組織移除之成員帳戶的管理員身分登入。

2.導覽到 AWS Organizations 主控台。

3.選擇 *Leave organization* (離開組織)。

4.如果帳戶沒有付款方法,您必須提供一個。

要建立 OU,請執行下列步驟:

1.以管理帳戶的管理員身分登入,導覽到 AWS Organizations 主控台。

2.選擇組織帳戶標籤。

3.在層次結構中導覽到想要建立 OU 的位置。您可以直接在根之下建立,或在另一個 OU 內建立。

4.選擇建立組織單位並為 OU 指定名稱。此名稱在組織中必須是唯一的。

注意:之後可以重新命名 OU。

您現在可以將 AWS 帳戶加入 OU。使用 AWS CLI 和 AWS API 也可以建立和管理 OU。

按照這些步驟將成員帳戶加入 OU:

1.在 AWS Organizations 主控台中,選擇 Organize accounts 標籤。

2.選擇 AWS 帳戶,然後選擇 Move account。

3.在對話方塊中,選擇要將 AWS 帳戶移入的 OU。

或者,您也可以使用 AWS CLI 和 AWS API 將 AWS 帳戶加入 OU。

否。一個 AWS 帳戶一次只能是一個 OU 的成員。

否。一個 OU 一次只能是一個 OU 的成員。

OU 的巢狀結構可達 5 層。包括根以及在最低 OU 中建立的 AWS 帳戶,層次結構可有 5 層深。

控制管理

您可將政策連接到組織的根 (套用到組織中所有帳戶)、個別組織單位 (OU) (套用到 OU 中所有帳戶,包括巢狀的 OU) 或個別帳戶。

您可以使用下列兩種方式之一來連接政策:

  • 在 AWS Organizations 主控台中,導覽到想要指派政策的位置 (根、OU 或帳戶),然後選擇附接政策
  • 在 Organizations 主控台中,選擇政策標籤,然後執行下列其中一項:
    選擇現有的政策,從動作下拉式清單選擇附接政策,然後選擇要連接政策的根、OU 或帳戶。
  • 選擇建立政策,然在政策建立工作流程中,選擇想要連接新政策的根、OU 或帳戶。

如需詳細資訊,請參閱管理政策

是。例如,假設您已根據應用程式開發階段 (DEV、TEST 和 PROD) 將 AWS 帳戶安排成各個 OU。政策 P1 連接到組織的根,而政策 P2 連接到 DEV OU,然後政策 P3 連接到 DEV OU 中的 AWS 帳戶 A1。透過這種設定方式,P1+P2+P3 都會套用到帳戶 A1。
如需詳細資訊,請參閱關於服務控制政策

AWS Organizations 目前支援下列政策:

  • 備份政策—要求使用 AWS Backup 在指定 Cadence 上建立備份
  • 標籤政策—定義標籤鍵值和允許的值
  • AI 服務退出政策—控制 AI 服務如何儲存或使用來自組織的內容
  • 服務控制政策 (SCP)—定義和執行一些動作,而套用了 SCP 之帳戶中的 IAM 使用者、群組和角色可執行這些動作

服務控制政策 (SCP) 可讓您控制組織帳戶中的主體 (帳戶根、IAM 使用者和 IAM 角色) 可存取哪些 AWS 服務動作。在決定帳戶中哪些主體可以存取資源,以授予帳戶中主體存取資源時,SCP 是必要但並非唯一的控制要件。已連接 SCP 之帳戶中主體上的有效許可是下面兩個部分的交集,一個是 SCP 中明確允許的動作,另一個是與主體連接的許可中明確允許的動作。例如,如果套用到帳戶的 SCP 表明只允許 Amazon EC2 動作,而同一個 AWS 帳戶中主體上的許可允許 EC2 動作和 Amazon S3 動作兩者,則主體將只能存取 EC2 動作。
成員帳戶中的主體 (包括成員帳戶的根使用者) 無法移除或變更套用到該帳戶的 SCP。 

SCP 遵循與 IAM 政策相同的規則和文法。如需有關 SCP 語法的資訊,請參閱 SCP 語法。例如 SCP,請參閱服務控制政策範例。 

 "Version":"2012-10-17"、 

 "Statement":[ 

 { 

 "Effect":"Allow"、 

 "Action":["EC2:*","S3:*"]、 

 "Resource":"*" 

 } 

 ] 

 }

封鎖名單範例
以下 SCP 允許除了 S3 動作 PutObject 以外的所有 AWS 服務動作。套用此 SCP 的帳戶中被直接指派適當許可的所有主體 (帳戶根、IAM 使用者和 IAM 角色),可存取除了 S3 PutObject 以外的任何動作。 

 "Version":"2012-10-17"、 

 "Statement":[ 

 { 

 "Effect":"Allow"、 

 "Action": "*:*"、 

 "Resource":"*" 

 }, 

 { 

 "Effect":"Deny"、 

 "Action":"S3:PutObject"、 

 "Resource":"*" 

 } 

 ] 

 }

如需更多範例,請參閱使用 SCP 的策略

否。SCP 的行為與 IAM 政策一樣:空的 IAM 政策就等於預設拒絕 (DENY)。將空的 SCP 連接到帳戶就等於連接一個明確拒絕所有動作的政策。

對已套用 SCP 的 AWS 帳戶中主體 (帳戶根、IAM 使用者和 IAM 角色) 授予有效許可,是 SCP 所允許的許可與 IAM 許可政策授予主體的許可之間的交集。例如,如果 IAM 使用者有 "Allow": "ec2:* " 和 "Allow": "sqs:* ",且連接到帳戶的 SCP 有 "Allow": "ec2:* " and "Allow": "s3:* ",則 IAM 使用者的結果許可是 "Allow": "ec2:* "。主體無法執行任何 Amazon SQS (SCP 不允許) 或 S3 動作 (IAM 政策未授予)。

是,IAM 政策模擬器可以包含 SCP 的效果,而在組織的成員帳戶中使用政策模擬器則可了解該帳戶中個別主體上的效果。具有適當 AWS Organizations 許可的成員帳戶中的管理員可以看到 SCP 是否會影響成員帳戶中主體 (帳戶根、IAM 使用者和 IAM 角色) 的存取權。
如需詳細資訊,請參閱服務控制政策

是。您自己決定要強制執行的政策。例如,您可以建立一個組織,並只利用合併帳單功能。這可讓您為組織中所有帳戶只使用一個付款人帳戶,而且會自動獲得預設的分級定價益處。

計費

使用 AWS Organizations 不需額外付費。

管理帳戶的擁有者負責支付組織中帳戶使用的所有用量、資料和資源的費用。

否。目前帳單無法反映出您在組織中定義的結構。您可以在個別 AWS 帳戶中使用成本分配標籤來分類和追蹤 AWS 成本,而在組織的合併帳單中可以看到這套分配。

整合的 AWS 服務

AWS 服務已與 AWS Organizations 整合,以便為客戶提供對其組織中帳戶的集中管理和設定。這可讓您從單一位置跨帳戶管理服務,從而簡化部署和設定。

如需與 AWS Organizations 整合的 AWS 服務的清單,請參閱可搭配 AWS Organizations 來使用的 AWS 服務

若要開始使用與 AWS Organizations 整合的 AWS 服務,請在 AWS 管理主控台中導覽至該服務並啟用整合。