Terminologie und Konzepte für AWS Organizations

Alle Funktionen sind die Standardfunktionen, die für verfügbar sind AWS Organizations. Sie können zentrale Richtlinien und Konfigurationsanforderungen für eine gesamte Organisation festlegen, benutzerdefinierte Berechtigungen oder Funktionen innerhalb der Organisation einrichten, Ihre Konten unter einer einzigen Rechnung verwalten und organisieren und Verantwortlichkeiten im Namen der Organisation an andere Konten delegieren. Sie können auch Integrationen mit anderen verwenden, AWS-Services um zentrale Konfigurationen, Sicherheitsmechanismen, Prüfanforderungen und die gemeinsame Nutzung von Ressourcen für alle Mitgliedskonten in Ihrer Organisation zu definieren. Weitere Informationen finden Sie unter Verwendung AWS Organizations mit anderen AWS-Services.

Der Modus „Alle Funktionen“ bietet alle Funktionen der konsolidierten Fakturierung zusammen mit den administrativen Funktionen.

Bei der konsolidierten Abrechnung handelt es sich um den Funktionsumfang, der Funktionen für die gemeinsame Abrechnung bereitstellt, jedoch nicht die erweiterten Funktionen von umfasst AWS Organizations. Sie können beispielsweise nicht zulassen, dass andere AWS Dienste in Ihre Organisation integriert werden, sodass sie für alle Konten funktionieren, oder Richtlinien verwenden, um einzuschränken, was Benutzer und Rollen in verschiedenen Konten tun können.

Sie können alle Funktionen für eine Organisation aktivieren, die ursprünglich nur die Funktionen für die konsolidierte Fakturierung unterstützt hat. Wenn Sie alle Funktionen aktivieren möchten, müssen alle eingeladen Mitgliedskonten die Änderung genehmigen und die Einladung annehmen, die bei der Initiierung des Prozesses durch das Verwaltungskonto gesendet wurde. Weitere Informationen finden Sie unter Aktivierung aller Funktionen für eine Organisation mit AWS Organizations.

Eine Organisation ist eine Sammlung von Elementen AWS-Konten, die Sie zentral verwalten und in einer hierarchischen, baumähnlichen Struktur organisieren können, mit einem Stamm an der Spitze und Organisationseinheiten, die unter dem Stamm verschachtelt sind. Jedes Konto kann sich direkt im Stammverzeichnis befinden oder einem der Konten in der OUs Hierarchie zugeordnet werden.

Jede Organisation besteht aus:

Eine Organisation verfügt über die Funktionalität, die vom aktivierten Featuresatz bestimmt wird.

Ein Administratorstamm (Root) ist im Verwaltungskonto enthalten und ist der Ausgangspunkt für die Organisation Ihres AWS-Konten. Das Stammverzeichnis ist der oberste Container in der Hierarchie Ihrer Organisation. Unter diesem Stamm können Sie Organisationseinheiten (OUs) erstellen, um Ihre Konten logisch zu gruppieren und sie OUs in einer Hierarchie zu organisieren, die Ihren Anforderungen am besten entspricht.

Wenn Sie eine Verwaltungsrichtlinie auf den Stamm anwenden, gilt diese für alle Organisationseinheiten (OUs) und Konten, einschließlich des Verwaltungskontos für die Organisation.

Wenn Sie eine Autorisierungsrichtlinie (z. B. eine Dienststeuerungsrichtlinie (SCP)) auf das Stammverzeichnis anwenden, gilt diese für alle Organisationseinheiten (OUs) und Mitgliedskonten in der Organisation. Sie gilt nicht für das Verwaltungskonto in der Organisation.

Eine Organisationseinheit (OU) ist eine Gruppe von Personen AWS-Konteninnerhalb einer Organisation. Eine Organisationseinheit kann auch andere enthalten, OUs sodass Sie eine Hierarchie erstellen können. Sie können beispielsweise alle Konten, die derselben Abteilung angehören, zu einer Abteilungs-OU zusammenfassen. Ebenso können Sie alle Konten, auf denen Sicherheitsdienste ausgeführt werden, zu einer Sicherheits-OU zusammenfassen.

OUssind nützlich, wenn Sie dieselben Kontrollen auf eine Untergruppe von Konten in Ihrer Organisation anwenden müssen. Die Verschachtelung OUs ermöglicht kleinere Verwaltungseinheiten. Sie können z. B. für jeden Workload etwas erstellen OUs und dann OUs in jeder Workload-Organisationseinheit zwei verschachtelte Workloads erstellen, um die Produktions-Workloads von den Workloads aus der Vorproduktion zu trennen. Diese OUs übernehmen zusätzlich zu allen Kontrollen, die der Organisationseinheit auf Teamebene direkt zugewiesen sind, die Richtlinien der übergeordneten Organisationseinheit. Ihre Hierarchie kann fünf Ebenen AWS-Konten umfassenOUs, einschließlich der Stammstruktur und der untersten Ebene.

An AWS-Kontoist ein Container für Ihre AWS Ressourcen. Sie erstellen und verwalten Ihre AWS Ressourcen in einem AWS-Konto, das administrative Funktionen für den Zugriff und die Abrechnung AWS-Konto bietet.

Die Verwendung mehrerer Optionen AWS-Konten ist eine bewährte Methode für die Skalierung Ihrer Umgebung, da sie eine Abrechnungsgrenze für Kosten bietet, Ressourcen aus Sicherheitsgründen isoliert, Einzelpersonen und Teams Flexibilität bietet und zudem an neue Prozesse anpassbar ist.

In einer Organisation gibt es zwei Arten von Konten: ein einzelnes Konto, das als Verwaltungskonto vorgesehen ist, und ein oder mehrere Mitgliedskonten.

Ein Verwaltungskonto ist das Konto, mit dem AWS-Konto Sie Ihre Organisation erstellen. Über das Verwaltungskonto können Sie Folgendes tun:

Das Verwaltungskonto ist der ultimative Eigentümer der Organisation und hat die endgültige Kontrolle über die Sicherheits-, Infrastruktur- und Finanzrichtlinien. Dieses Konto hat die Rolle eines Zahlerkontos und ist für die Zahlung aller Gebühren verantwortlich, die auf den Konten in seiner Organisation anfallen.

Ein Mitgliedskonto ist ein AWS-Konto anderes als das Verwaltungskonto, das Teil einer Organisation ist. Wenn Sie Administrator einer Organisation sind, können Sie Mitgliedskonten in der Organisation erstellen und bestehende Konten einladen, der Organisation beizutreten. Sie können Richtlinien auch auf Mitgliedskonten anwenden.

Wir empfehlen, das Verwaltungskonto von und die zugehörigen Benutzer und Rollen nur für Aufgaben zu verwenden, die über dieses Konto ausgeführt werden müssen. Die AWS -Ressourcen sollten Sie in anderen Mitgliedskonten in der Organisation speichern und aus dem Verwaltungskonto heraushalten. Dies liegt daran, dass Sicherheitsfunktionen wie die Dienststeuerungsrichtlinien von Organizations (SCPs) keine Benutzer oder Rollen im Verwaltungskonto einschränken. Durch die Trennung der Ressourcen vom Verwaltungskonto können Sie außerdem die Kosten auf Ihren Rechnungen leichter nachvollziehen. Zur Umsetzung dieser Empfehlung können Sie über das Verwaltungskonto der Organisation ein oder mehrere Mitgliedskonten als Konto für einen delegierten Administrator festlegen. Es gibt zwei Arten von delegierten Administratoren:

Eine Einladung ist der Vorgang, bei dem Sie ein anderes Konto bitten, Ihrer Organisation beizutreten. Eine Einladung kann nur vom Verwaltungskonto der Organisation ausgehen. Die Einladung wird entweder auf die Konto-ID oder die E-Mail-Adresse erweitert, die dem eingeladenen Konto zugeordnet ist. Wenn das eingeladene Konto eine Einladung annimmt, wird es zum Mitgliedskonto in der Organisation. Einladungen können auch an alle aktuellen Mitgliedskonten gesendet werden – nämlich dann, wenn alle Mitglieder den Wechsel von der Unterstützung der Funktionen für konsolidierte Fakturierung zur Unterstützung aller Funktionen genehmigen sollen. Die Verarbeitung von Einladungen erfolgt durch den Austausch von Handshakes durch die Konten. Möglicherweise werden beim Arbeiten in der AWS Organizations -Konsole keine Handshakes angezeigt. Wenn Sie jedoch das AWS CLI oder verwenden AWS Organizations API, müssen Sie direkt mit Handshakes arbeiten.

Ein Handschlag ist ein mehrstufiger Prozess des Informationsaustauschs zwischen zwei Parteien. Eine seiner Hauptanwendungen besteht darin, als zugrunde liegende Implementierung für Einladungen zu dienen. AWS Organizations Handshake-Nachrichten werden zwischen dem Handshake-Initiator und dem Empfänger übergeben, und beide Parteien reagieren darauf. Die Nachrichten werden so übergeben, dass beide Parteien den aktuellen Status kennen. Handshakes werden auch eingesetzt, wenn die Organisation einen Wechsel von der Unterstützung der Funktionen für konsolidierte Abrechnung zur Unterstützung aller von bereitgestellten Funktionen AWS Organizations plant. Im Allgemeinen müssen Sie nur dann direkt mit Handshakes interagieren, wenn Sie mit den AWS Organizations API oder Befehlszeilentools wie dem arbeiten. AWS CLI

Eine Backup-Richtlinie ist eine Art von Richtlinie, mit der Sie eine Backup-Strategie für die Ressourcen aller Konten in Ihrem Unternehmen standardisieren und implementieren können. In einer Backup-Richtlinie können Sie Backup-Pläne für Ihre Ressourcen konfigurieren und bereitstellen.

Eine Tag-Richtlinie ist eine Art von Richtlinie, mit der Sie Tags für alle Konten in Ihrer Organisation ressourcenübergreifend standardisieren können. In einer Tag-Richtlinie können Sie Tagging-Regeln für bestimmte Ressourcen angeben.

Eine Chatbot-Richtlinie ist eine Art von Richtlinie, mit der du den Zugriff auf die Konten deiner Organisation von Chat-Anwendungen wie Slack und Microsoft Teams aus kontrollieren kannst. In einer Chatbot-Richtlinie schränken Sie den Zugriff auf bestimmte Workspaces (Slack) und Teams (Microsoft Teams) ein.

Eine Abmelderichtlinie für KI-Dienste ist eine Art von Richtlinie, die dir hilft, deine Abmeldeeinstellungen für AWS KI-Dienste für alle Konten in deiner Organisation zu standardisieren. Bestimmte AWS KI-Dienste können Kundeninhalte, die von diesen Diensten verarbeitet werden, für die Entwicklung und kontinuierliche Verbesserung der Amazon AI-Services und -Technologien speichern und verwenden. In einer Abmelderichtlinie für KI-Dienste können Sie sich dafür entscheiden, dass Ihre Inhalte nicht gespeichert oder für Serviceverbesserungen verwendet werden.

Eine Dienststeuerungsrichtlinie ist eine Richtlinie, die festlegt, welche Dienste und Aktionen Benutzer und Rollen in den betroffenen Konten verwenden SCPkönnen. SCPsähneln IAM Berechtigungsrichtlinien, mit dem Unterschied, dass sie keine Berechtigungen gewähren. SCPsGeben Sie stattdessen die maximalen Berechtigungen für eine Organisation, Organisationseinheiten (OUs) oder ein Konto an. Wenn Sie Ihrem Organisationsstamm oder einer SCP Organisationseinheit eine zuordnen, SCP schränkt dies die Berechtigungen für Entitäten im Mitgliedskonto ein.

Zulassungslisten und Ablehnungslisten sind ergänzende Strategien, mit SCPsdenen Sie die für Konten verfügbaren Berechtigungen filtern können.