的术语和概念 AWS Organizations

所有功能都是可用的默认功能集 AWS Organizations。您可以为整个组织设置中央策略和配置要求，在组织内创建自定义权限或能力，在单一账单下管理和组织您的账户，以及代表组织将责任委托给其他账户。您还可以使用与其他账户的集成 AWS 服务 来定义组织中所有成员账户的中央配置、安全机制、审计要求和资源共享。有关更多信息，请参阅 与其他 AWS Organizations 人一起使用 AWS 服务。

所有功能模式提供整合账单的所有功能以及管理功能。

整合账单是提供共享账单功能的功能集，但不包括的更高级的功能 AWS Organizations。例如，您不能允许其他 AWS 服务与您的组织集成，以便在其所有账户中运行，也不能使用策略来限制不同账户中的用户和角色可以执行的操作。

您可以为最初仅支持整合账单功能的组织启用所有功能。要启用所有功能，所有受邀成员账户都必须批准更改，方法为接受当管理账户启动此过程时发送的邀请。有关更多信息，请参阅 通过以下方式为组织启用所有功能 AWS Organizations。

组织是您可以集中管理的组织集合 AWS 账户，并将其组织成一个分层的树状结构，根位于顶部，组织单元嵌套在根目录下。每个账户可以直接位于根目录中，也可以放置在层次结构OUs中的一个中。

每个组织包括：

一个组织的功能由您启用的功能集决定。

管理帐户（root）包含在管理帐户中，是组织您的起点AWS 账户。根是组织层次结构中最顶层的容器。在此根目录下，您可以创建组织单位 (OUs) 来对您的账户进行逻辑分组，并将其组织OUs成最符合您需求的层次结构。

如果您将管理策略应用于根目录，则该策略适用于所有组织单位 (OUs) 和帐户，包括该组织的管理帐户。

如果您对根用户应用授权策略（例如，服务控制策略 (SCP)），则该策略将应用于组织中的所有组织单位 (OUs) 和成员账户。它不适用于组织中的管理账户。

组织单位 (OU) 是组织AWS 账户内部的一组。OU 也可以包含其他组织单位，OUs使您能够创建层次结构。例如，您可以将属于同一部门的所有帐户分组为一个部门 OU。同样，您可以将所有运行安全服务的账户分组到一个安全 OU 中。

OUs当你需要对组织中的一部分账户应用相同的控制时，这很有用。嵌套OUs可实现更小的管理单元。例如，您可以为每个工作负载创建OUs，然后在每个工作负载 OU OUs 中创建两个嵌套工作负载，将生产工作负载与预生产工作负载分开。除了直接分配给团队级 OU 的任何控制之外，它们还OUs继承父组织单位的策略。包括根目录和在最低层 AWS 账户 创建的层级OUs，你的层次结构可以深度为五级。

AWS 账户是您的 AWS 资源的容器。您可以在中创建和管理您的 AWS 资源 AWS 账户，并 AWS 账户 提供访问和计费的管理功能。

使用多个 AWS 账户 是扩展环境的最佳实践，因为它提供了成本计费边界，隔离了安全资源，为个人和团队提供了灵活性，此外还可以适应新流程。

组织中有两种类型的账户：被指定为管理账户的单个账户和一个或多个成员账户。

管理账户是 AWS 账户 您用来创建组织的。在管理账户中，您可以执行以下操作：

管理账户是组织的最终所有者，对安全、基础设施和财务政策拥有最终控制权。该账户扮演付款人账户的角色，负责支付其组织中该账户应计的所有费用。

除管理账户外 AWS 账户，成员账户是组织的一部分。如果您是组织的管理员，则可以在组织中创建成员帐户并邀请现有帐户加入该组织。您也可以将政策应用于成员账户。

我们建议您将 管理账户及其用户和角色仅用于必须由该账户执行的任务。我们建议您将所有的 AWS 资源存储在组织的其他成员账户中，而非保存在管理账户中。这是因为诸如 Organizations 服务控制策略 (SCPs) 之类的安全功能不会限制管理账户中的任何用户或角色。将资源与管理账户分离还可帮助您了解发票上的费用。在组织的管理账户中，您可以将一个或多个成员账户指定为委托管理员账户，以帮助您实施此建议。您可以使用两种类型的委托管理员：

邀请是邀请其他账号加入您的组织的过程。邀请只能由组织的管理账户发出。邀请扩展到与受邀账户相关联的账户 ID 或电子邮件地址。受邀账户接受邀请后，它将成为组织中的成员账户。如果组织需要所有当前成员账户批准将仅支持整合账单功能更改为支持组织中的所有功能，也可以将邀请发送到所有成员。通过交换握手信息，对各个账户发出邀请。在 AWS Organizations 控制台中处理时，您可能看不到握手。但是，如果您使用 AWS CLI 或 AWS Organizations API，则必须直接使用握手。

握手是双方之间交换信息的多步骤过程。它的主要用途之一 AWS Organizations 是用作邀请的底层实现。握手消息在握手发起方和接收方之间传递并由双方进行响应。消息的传递方式有助于确保双方知道当前状态是什么。将组织从仅支持整合账单功能更改为支持 提供的所有功能 AWS Organizations 时，也可以使用握手。通常，只有在使用 AWS Organizations API或命令行工具（例如）时，才需要直接与握手交互。 AWS CLI

备份策略是一种策略，可帮助您对组织中所有账户的资源进行标准化和实施备份策略。在备份策略中，您可以为资源配置和部署备份计划。

标签策略是一种策略，可帮助您标准化组织中所有账户中跨资源的标签。在标签策略中，您可以为特定资源指定标记规则。

聊天机器人策略是一种策略，可帮助您控制聊天应用程序（例如 Slack 和 Microsoft Teams）对组织帐户的访问权限。在聊天机器人策略中，您可以限制对特定工作空间（Slack）和团队（Microsoft Teams）的访问权限。

AI 服务选择退出政策是一种政策，可帮助您标准化组织中所有账户的 AWS AI 服务选择退出设置。某些 AWS AI 服务可以存储和使用这些服务处理的客户内容，用于开发和持续改进 Amazon AI 服务和技术。在 A I 服务选择退出政策中，您可以选择不存储您的内容或将其用于服务改进。

服务控制策略是指定用户和角色可以在受其SCP影响的账户中使用的服务和操作的策略。SCPs与IAM权限策略类似，不同之处在于它们不授予任何权限。相反，SCPs请指定组织、组织单位 (OUs) 或账户的最大权限。当您SCP向组织根目录或 OU 附加时，会SCP限制成员账户中实体的权限。

允许列表和拒绝列表是互补策略，可用于筛选账户可用的权限。SCPs