设计思想

随着在 AWS 上的工作负载不断增长和扩展，AWS Organizations 可以帮助用户集中管理用户的环境。不管是刚刚起步的新公司，还是一家大型企业，Organizations 都可以让用户集中管理账单、控制访问权限、合规性和安全性，并在用户的各个 AWS 账户间共享资源。

使用 AWS Organizations，用户可以根据业务需求自动创建帐户，创建帐户组，并应用针对这些组的管理策略。用户还可以通过对所有 AWS 帐户设置同一种支付方式来简化账单。通过与其他 AWS 服务整合，用户可以使用 Organizations 来指定公司帐户上的集中配置和资源共享。所有 AWS 客户都可以使用 AWS Organizations，且无需额外付费。

账号的结构图

主要组成部件的说明

SCP（Service Control Policies）

服务控制策略 (SCP) 是一种可用来管理用户的组织的策略。SCP 提供对组织中所有账户的最大可用权限的集中控制，使用户能够确保用户的账户遵循组织的访问控制指南。

更多关于SCP的资料请参考这里。

OU（Organization Unit）

用户可以使用组织单元 (OU)，将账户分组到一起，作为一个单元管理。这将极大简化用户的账户管理。例如，用户可以将基于策略的控制附加到 OU，该 OU 中的所有账户将自动继承策略。用户可以在单个组织内创建多个 OU，也可以在其他 OU 中创建 OU。每个 OU 可以包含多个账户，用户可以将账户从一个 OU 移动到另一个。但是，OU 名称必须在父 OU 或根内是唯一的。

更多内容参考这里。

AWS Account

标准的AWS账号。

优势

针对多个 AWS 账户集中管理策略

为了提升用户对 AWS 环境的控制力，用户可以使用 AWS Organizations 创建帐户组，随后将策略添加到组，确保对帐户应用正确的策略，而无需自定义脚本和手动流程。

管理 AWS 服务、资源和区域的访问权

AWS Organizations 可以让用户限制帐户中允许使用的服务和操作。用户可以使用 Service Control Policies (SCP) 对 AWS Identity and Access Management (IAM) 用户和角色应用许可权限保护工具。例如，用户可以应用 SCP 限制公司帐户中的用户，使其无法启用用户未明确允许的任何区域资源。

自动创建和管理 AWS 账户

AWS Organizations 可以自动创建和管理 AWS 帐户，有助于用户简化 IT 操作。借助 Organizations API，用户能够以编程方式创建新账户，并将新账户添加到一个组。附加到该组的策略会自动应用于新账户。例如，用户可以为工作负载或应用程序隔离自动创建新账户，并仅授予这些账户中的实体访问必要 AWS 服务的权限。

对多个帐户配置 AWS 服务

AWS Organizations 有助于用户对公司帐户配置 AWS 服务及共享资源。例如，Organizations 与 AWS Single Sign-on 整合后，用户可以更容易地在同一位置配置所有开发人员对用户公司帐户的访问权。用户可以集中更改访问许可，并自动更新公司帐户许可权。

整合多个 AWS 账户的账单

用户可以使用 AWS Organizations，通过整合账单为用户组织中的所有 AWS 账户设置同一种付费方式。通过整合账单，可以综合查看所有账户产生的费用，还可利用合计使用量带来的定价优惠，如面向 Amazon EC2 和 Amazon S3 提供的批量折扣。

AWS帐户结构注意事项

用户的团队同意的定义明确的AWS账户结构将帮助用户了解和优化成本。与标记一样，很重要的一点是，用户必须尽早实施有计划的帐户策略，并使其随需求的变化而发展。使用多个帐户，组织可以通过以下方式管理成本：

• 将需要不同付款方式的资源分组
• 为组提供对AWS资源的不同级别的管理控制
• 更好地控制特定工作负载的预留实例
• 确定不可标记的成本，例如数据传输
• 使用与不同业务部门或职能团队关联的帐户

对于许多组织而言，一种统一的计费策略是通过一个主账户来支付所有AWS账户，从而简化了支付，最大程度地降低了折扣，并使跨链接账户共享预留实例权益。通过AWS Organizations，用户可以通过中央策略管理和合并账单创建AWS账户组。

每个账号的用途以及使用者的关联表

• Prod OU 用来组织生产相关账号
• R&D OU 用来组织研发相关账号