的術語和概念 AWS Organizations

所有功能都是 可用的預設功能集 AWS Organizations。您可以為整個組織設定中央政策和組態需求、在組織內建立自訂許可或功能、在單一帳單下管理和組織您的帳戶，以及代表組織將責任委派給其他帳戶。您也可以使用與其他 的整合 AWS 服務 來定義組織中所有成員帳戶的中央組態、安全機制、稽核需求和資源共用。如需詳細資訊，請參閱AWS Organizations 與其他配合使用 AWS 服務。

所有功能模式提供合併帳單的所有功能以及管理功能。

合併計費是提供共用計費功能的功能集，但不包含 的更進階功能 AWS Organizations。例如，您無法讓其他服務與組織 AWS 整合，以跨其所有帳戶運作，或使用政策來限制不同帳戶中的使用者和角色可以執行的操作。

您可以為原本僅支援合併帳單功能的組織啟用所有功能。若要啟用所有功能，所有獲邀請的成員帳戶必須透過接受在管理帳戶啟動程序時傳送的邀請來核准變更。如需詳細資訊，請參閱為組織啟用所有功能 AWS Organizations。

組織是 的集合AWS 帳戶，您可以集中管理，並整理成階層式的樹狀結構，其中根位於頂端，組織單位位於根下。每個帳戶可以直接位於根中，或放置在階層OUs中的其中一個 中。

每個組織包含：

組織具有的功能取決於您啟用的功能集。

管理帳戶中包含管理根 （根），是組織 的起點AWS 帳戶。根是組織階層中最上方的容器。在此根目錄下，您可以建立組織單位 （OUs），以邏輯方式將帳戶分組，並將其組織OUs到最符合您需求的階層中。

如果您將管理政策套用至根，則其會套用至所有組織單位 （OUs） 和帳戶 ，包括組織的管理帳戶。

如果您將授權政策 （例如，服務控制政策 （SCP）） 套用至根，則其會套用至組織中的所有組織單位 （OUs） 和成員帳戶。它不適用於組織中的管理帳戶。

組織單位 （OU） 是AWS 帳戶組織中的 群組。OU 也可以包含可讓您建立階層的其他 OUs 。例如，您可以將屬於相同部門的所有帳戶分組為部門 OU。同樣地，您可以將執行安全服務的所有帳戶分組為安全 OU。

OUs 當您需要將相同的控制項套用至組織中的帳戶子集時， 很有用。巢狀OUs啟用較小的管理單位。例如，您可以OUs為每個工作負載建立 ，然後在每個工作負載 OU OUs中建立兩個巢狀 ，將生產工作負載與生產前分開。除了直接指派給團隊層級 OU 的任何控制項之外，這些OUs也會繼承父 OU 的政策。包含根並在最低的 中 AWS 帳戶 建立OUs，您的階層可以是五個層級的深度。

AWS 帳戶 是 AWS 資源的容器。您可以在 中建立和管理 AWS 資源 AWS 帳戶，並提供存取和計費的 AWS 帳戶 管理功能。

使用多個 AWS 帳戶 是擴展環境的最佳實務，因為它提供成本的帳單界限、隔離資源以確保安全、提供彈性或個人和團隊，以及適應新程序。

組織中有兩種帳戶：指定為管理帳戶的單一帳戶，以及一或多個成員帳戶。

管理帳戶是您 AWS 帳戶 用來建立組織的 。從 管理帳戶，您可以執行下列動作：

管理帳戶是組織的最終擁有者，對安全、基礎設施和財務政策具有最終控制權。此帳戶具有付款人帳戶的角色，並負責支付組織中帳戶產生的所有費用。

成員帳戶是 AWS 帳戶，而不是 管理帳戶，它是組織的一部分。如果您是組織的管理員，您可以在組織中建立成員帳戶，並邀請現有帳戶加入組織。您也可以將政策套用至成員帳戶。

我們建議您僅將 管理帳戶及其使用者和角色用於必須由該帳戶執行的任務。我們建議您將 AWS 資源存放在組織內其他成員帳戶中，且將其保存在管理帳戶之外。這是因為 Organizations 服務控制政策 （SCPs） 等安全功能不會限制管理帳戶中的任何使用者或角色。將資源與管理帳戶分開，也可協助您瞭解發票上的費用。從組織的管理帳戶中，您可以將一或多個成員帳戶指定為委派管理員帳戶以協助您實作此建議。委派管理員有兩種類型：

邀請是要求另一個帳戶加入您組織的程序。只能由組織的管理帳戶發出邀請。邀請會延伸到與受邀帳戶相關聯的帳戶 ID 或電子郵件地址。獲邀請的帳戶接受邀請之後，就會變成組織中的成員帳戶。當組織需要所有成員核准從僅支援合併帳單功能變更為支援組織中所有功能的變更時，您也可以將邀請傳送到所有目前的成員帳戶。透過帳戶交換交握，邀請便可運作。您在 AWS Organizations 主控台可能看不到交握。但是，如果您使用 AWS CLI 或 AWS Organizations API，則必須直接使用交握。

交握是兩方之間交換資訊的多步驟程序。其在 的主要用途之一 AWS Organizations 是作為邀請 的基礎實作。交握發起方和接收發之間會傳遞和回應交握訊息。訊息的傳遞方式有助於確保雙方知道目前狀態。將組織從僅支援合併計費功能變更為支援提供的所有功能時， AWS Organizations 也會使用交握。只有當您使用 AWS Organizations API或 命令列工具，例如 時，您通常才需要直接與交握互動 AWS CLI。

備份政策是一種政策類型，可協助您標準化和實作組織中所有帳戶的資源備份策略。在備份政策中，您可以為您的資源設定和部署備份計劃。

標籤政策是一種政策，可協助您在組織中所有帳戶跨資源標準化標籤。在標籤政策中，您可以為特定資源指定標記規則。

聊天機器人政策是一種政策，可協助您控制從 Slack 和 Microsoft Teams 等聊天應用程式存取組織帳戶的許可。在聊天機器人政策 中，您可以限制對特定工作區 （Slack） 和團隊 （Microsoft Teams） 的存取。

AI 服務選擇退出政策是一種政策，可協助您將組織中所有帳戶的 AWS AI 服務選擇退出設定標準化。某些 AWS AI 服務可以存放和使用這些服務處理的客戶內容，以開發和持續改善 Amazon AI 服務和技術。在 AI 服務選擇退出政策 中，您可以選擇不儲存內容或將其用於服務改進。

服務控制政策是指定使用者和角色可在 SCP影響的帳戶中使用的服務和動作的政策。SCPs 類似於IAM許可政策，但不授予任何許可。請SCPs改為指定組織 、組織單位 （OUs） 或帳戶 的最大許可。當您將 SCP連接至組織根或 OU 時， 會SCP限制成員帳戶中實體的許可。

允許清單和拒絕清單是補充策略，可用來套用 SCPs 來篩選帳戶可用的許可。