AWS Organizations 功能

AWS 帳戶是許可、安全、成本和工作負載的自然邊界。擴展您的雲端環境時，使用多帳戶環境是建議的最佳實務。您可以使用 AWS Command Line Interface (CLI)、SDK 或 API 以程式設計方式建立新帳戶，從而簡化帳戶建立，再使用 AWS CloudFormation StackSets 集中佈建建議資源和許可到這些帳戶中。

建立新帳戶時，您可以將帳戶組建群組到組織單位 (OU) 或服務於單一應用程式或服務的帳戶群組中。套用標籤政策在您組織中分類或追蹤資源，並為使用者或應用程式提供以屬性為基礎的存取控制。此外，您還可以為支援的 AWS 服務委派責任到帳戶，以便使用者可以代表您的組織對它們進行管理。

您可以集中為您的安全團隊提供工具和存取權限，以代表組織管理安全需求。例如，您可以使用 Amazon GuardDuty 提供跨帳戶的唯讀安全存取權限，偵測和減少威脅，用 IAM Access Analyzer 審查非預期的資源存取，用 Amazon Macie 保護敏感資料。

使用您的 Active Directory 設定 AWS IAM Identity Center，以提供 AWS 帳戶和資源的存取權，並基於獨立的任務角色自訂許可。您還可以將服務控制政策 (SCP) 套用到使用者、帳戶或 OU，以在您的組織內控制 AWS 資源、服務和區域的存取。

您可以在您的組織範圍內使用 AWS Resource Access Manager (RAM) 共用 AWS 資源。例如，您可以一次性建立 AWS Virtual Private Cloud (VPC) 子網路，並在您的組織共享。您還可以使用 AWS License Manager 集中同意軟體授權，使用 AWS Service Catalog 共享跨帳戶的 IT 服務和自訂產品目錄。

您可以套用宣告式政策來強制執行持續性目標，例如整個組織中 AWS 服務的基本組態。一旦連接宣告式政策之後，無論授權內容為何，在新增和強制執行新功能、API 時，都會維護組態。

您可以跨帳戶啟動 AWS CloudTrail，建立您雲端環境中全部活動的日誌，可以用會員帳戶關閉和修改。此外，您可以使用 AWS Backup 設定政策，以在您指定的 Cadence 上強制執行備份，或使用 AWS Config 跨帳戶和 AWS 區域為資源定義建議的組態設定。

Organizations 為您提供單一合併帳單。此外，您還可以使用 AWS Cost Explorer 跨帳戶檢視資源用量和追蹤成本，使用 AWS Compute Optimizer 最佳化運算資源的使用量。