- 产品›
- Amazon Organizations›
- Amazon Organizations 常见问题
Amazon Organizations 常见问题
一般性问题
全部打开
组织是指一系列 Amazon Web Services 账户,您可以将其整理为一个层次结构并进行集中管理。
Amazon Web Services 账户是 Amazon Web Services 资源的容器。您在 Amazon Web Services 账户中创建和管理自己的 Amazon Web Services 资源,而 Amazon Web Services 账户提供访问和计费的管理功能。
主账户是您用于创建组织的 Amazon Web Services 账户。使用主账户,您可以在组织内创建其他账户,邀请其他账户加入您的组织并对此类邀请进行管理,以及从您的组织中删除账户。您还可以将策略与组织内的管理根、组织单元(OU)或账户等实体关联起来。主账户将承担付款人账户的角色,并负责支付其组织内所有账户产生的全部费用。您无法更改您组织中用作主账户的账户。
成员账户是除主账户以外的 Amazon Web Services 账户,是组织的一部分。如果您是某个组织的管理员,您可以在该组织内创建成员账户,也可以邀请现有账户加入该组织。您还可以对成员账户应用策略。一个成员账户一次只能属于一个组织。
管理根是整理 Amazon Web Services 账户的起始点,也是组织层次结构中最顶层的容器。在此根下,您可以创建 OU 以对账户进行逻辑分组,并将这些 OU 整理到最能满足您的业务需求的层次结构中。
组织单元(OU)是组织内的一组 Amazon Web Services 账户。OU 还可以包含允许您创建层次结构的其他 OU。例如,您可以将属于同一个部门的所有账户都分组到一个部门 OU。同样,您也可以将运行生产服务的所有账户分组到一个生产 OU。当您需要对组织内的一组账户应用相同的控制机制时,OU 则非常有用。嵌套 OU 能够实现更小的管理单位。例如,在一个部门 OU 中,您可以将属于不同团队的账户分组到团队级 OU。除直接分配给团队级 OU 的所有控制机制外,这些 OU 还会继承父 OU 的策略。
策略是包含一条或多条语句的“文档”,这些语句定义您要应用于一组 Amazon Web Services 账户的控制措施。Amazon Organizations 支持以下策略:
标签策略 - 定义标签索引键和允许的值
整理 Amazon Web Services 账户
全部打开
在创建和管理组织时,您无需指定区域。您的 Amazon Web Services 账户中的用户可以在任何提供 Amazon Web Services 服务的中国区域使用该服务。
不能。您不能将某个 Amazon Web Services 账户更改为主账户。因此,请务必谨慎选择主账户。
请使用以下两种方法之一向您的组织添加 Amazon Web Services 账户:
方法 1:邀请现有账户加入您的组织
方法 2:在您的组织中创建 Amazon Web Services 账户
不能。一个 Amazon Web Services 账户一次只能是一个组织的成员。
可以。但您必须首先将该账户从您的组织内移除,使之成为独立账户(见下文)。将该账户变成独立账户后,您便可邀请该账户加入其他组织。
可以。当您使用 Amazon Organizations 控制台、API 或 CLI 命令在组织内创建账户时,Amazon Web Services 不会收集独立账户所需的所有信息。对于您要将其变成独立账户的每个账户,您需要更新此类信息,这可能包括:提供联系信息、同意 Amazon Web Services 光环新网客户协议(北京区域)、Amazon Web Services 西云数据客户协议(宁夏区域)、提供有效付款方式、授权或补充注册 Amazon Web Services 账户所需的其他信息以及选择支持计划选项。我们将通过您选择的付款方式收取账户未关联到组织期间发生的所有应收费 Amazon Web Services 活动的费用。
这要视具体情况而定。如果需要更多账户,请转至亚马逊云科技支持中心,打开支持问题来申请增加账户数。
您可以通过以下两种方法之一删除成员账户。要删除使用 Organizations 创建的账户,您可能需要提供额外的信息。如果尝试删除账户失败,请转至亚马逊云科技支持中心,寻求有关删除账户的帮助。
方法 1:通过登录主账户删除受邀成员账户
方法 2:通过登录成员账户删除受邀成员账户
要创建 OU,请执行以下操作:
以主账户管理员的身份登录,然后导航至 Amazon Organizations 控制台。
选择 Organize accounts(整理账户)选项卡。
在层次结构中导航至要创建 OU 的位置。您可以直接在根下创建,也可以在其他 OU 中创建。
选择 Create organizational unit(创建组织部门),并为该 OU 提供名称。该名称在您的组织内必须是唯一的。
注意:您稍后可以重命名该 OU。现在,您可以将 Amazon Web Services 账户添加到自己的 OU。您也可以使用 Amazon CLI 和 Amazon API 创建和管理 OU。
请按照以下步骤将成员账户添加到 OU:
在 Amazon Organizations 控制台中,选择“整理账户”选项卡。
选择 Amazon Web Services 账户,然后选择“移动账户”。
在对话框中,选择要将 Amazon Web Services 账户移至的 OU。 或者,您可以使用 Amazon CLI 和 Amazon API 将 Amazon Web Services 账户添加到 OU。
您可以将 OU 嵌套 5 层。包括在最低 OU 中创建的根账户和 Amazon Web Services 账户在内,您的层次结构可以包含 5 层。
控制管理
全部打开
您可以将策略附加到组织的根账户(应用于组织中的所有账户)、单个组织单元(OU)(应用于 OU 中的所有账户,包括嵌套 OU)或个人账户。
您可以通过以下两种方式之一附加策略:
在 Amazon Organizations 控制台中,导航到要分配策略的位置(根账户、OU 或账户),然后选择“附加策略”。
在 Organizations 控制台中,选择“策略”选项卡并执行以下操作之一:选择现有策略,从“操作”下拉列表中选择“附加策略”,然后选择要将策略附加到的根账户、OU 或账户。
选择“创建策略”,然后作为策略创建工作流程的一部分,选择要将新策略附加到其中的根账户、OU 或账户。
可以。例如,假设您已根据应用程序开发阶段(DEV、TEST 和 PROD)将 Amazon Web Services 账户安排到多个 OU 中。策略 P1 附加到组织的根账户,策略 P2 附加到 DEV OU,策略 P3 附加到 DEV OU 中的 Amazon Web Services 账户 A1。通过这种设置,P1+P2+P3 都应用于账户 A1。
目前,Amazon Organizations 支持以下策略:
标签策略 - 定义标签索引键和允许的值