AWS Organizations 功能

AWS 账户是权限、安全性、成本和工作负载的自然边界。扩展云环境时，使用多账户环境是建议的最佳实践。您可以通过使用 AWS 命令行界面 (CLI)、开发工具包或 API 以编程方式创建新账户来简化账户创建，并使用 AWS CloudFormation StackSets 集中预置建议的资源和对这些账户的权限。

当您创建新账户时，您可以将它们分组到组织单位 (OU) 或者提供单一应用程序或服务的账户组中。应用标签策略以分类或跟踪您组织内的资源，并为用户或应用程序提供基于属性的访问控制。此外，您还可以将支持 AWS 服务的责任委托给账户，以便用户可以代表您的组织管理它们。

您可以为您的安全团队集中提供工具和访问权，以代表组织管理安全性需求。例如，您可以在账户中提供只读安全访问权，使用 Amazon GuardDuty 检测和减轻威胁，通过 IAM 访问分析器查看至资源的意外访问，并使用 Amazon Macie 保护敏感数据安全。

设置 AWS IAM Identity Center 以使用您的活动目录提供对 AWS 账户和资源的访问权，并根据单独的作业角色定制权限。您还可以向用户、账户或 OU 应用服务控制策略（SCP），以控制对您组织内的 AWS 资源、服务和区域的访问权。

您可以使用 AWS 资源访问权限管理 (RAM) 在您的组织内共享 AWS 资源。例如，您可以创建 AWS Virtual Private Cloud (VPC) 子网一次，然后在组织中分享它们。您还可以使用 AWS License Manager 集中同意软件许可，并使用 AWS Service Catalog 在账户中分享 IT 服务和自定义产品的目录。

您可以在账户中激活 AWS CloudTrail，从而在云环境中创建无法由成员账户关闭或修改的所有活动的日志。此外，您还可以设置策略来使用 AWS Backup 按指定频率实施备份，或使用 AWS Config 跨账户和 AWS 区域为资源定义建议的配置设置。

组织为您提供单一整合账单。此外，您还可以查看各账户的资源使用量并使用 AWS Cost Explorer 跟踪成本，并且还可使用 AWS Compute Optimizer 优化您的计算资源使用。