通过 AWS Organizations 管理账户
AWS Organizations 是一项账户管理服务,可让您将多个 AWS 账户整合到您创建并集中管理的组织中。借助 Organizations,您可以创建成员账户,还可以邀请现有账户加入您的组织。您可以对这些账户进行分组,并附加基于策略的控件。有关更多信息,请参阅 AWS Organizations 用户指南。
在 AWS Control Tower 中,Organizations 有助于集中管理账单;控制访问权限、合规性和安全性;以及在您的成员 AWS 账户中共享资源。账户划分到逻辑组,这些组称为组织单位(OU)。有关 Organizations 的更多信息,请参阅 AWS Organizations 用户指南。
AWS Control Tower 使用以下 OU:
-
根 - 登录区中所有账户和所有其他 OU 的父容器。
-
安全性 - 此 OU 包含日志存档账户、审计账户及其拥有的资源。
-
沙盒 - 此 OU 是在您设置登录区时创建的。它和登录区中的其他子 OU 包含您的成员账户。这些是您的最终用户为在 AWS 资源在执行工作而访问的账户。
注意
您可以通过 AWS Control Tower 控制台中的组织单位页面,在登录区中添加其他 OU。
注意事项
通过 AWS Control Tower 创建的 OU 可以应用控件。默认情况下,在 AWS Control Tower 之外创建的 OU 无法应用这些控件。但是,您可以注册此类 OU。一旦您注册了某个 OU,就可以对其及其包含的账户应用控件。有关注册 OU 的信息,请参阅 Register an existing organizational unit with AWS Control Tower。
