新的名为AWS Organizations的工具目的在于帮助确保云帐户管理的安全。专家Matthew Pascucci解释了这一工具的工作原理，以及对其与AWS IAM进行了对比。

在AWS re：Invent大会上，亚马逊推出了一个新工具，帮助管理员和安全管理员控制多个云帐户。该工具名为AWS Organizations ，允许管理员创建一组AWS账户。AWS Organizations 的安全优势是什么？与AWS IAM等现有安全工具进行比较它又如何，是它们的补充吗？

AWS Organizations 目的在于允许在Amazon Web Services（AWS）中工作的云管理员更安全高效地管理帐户。通常，AWS Organizations 创建可应用于用户/组的自定义策略，以管理安全性、创建更好的自动化和简化计费。 与AWS IAM（身份和访问管理）服务有一些重叠，但它们之间更加互补，它建立了已经到位的IAM策略。

AWS Organizations 允许在新实体下进行帐户管理。此实体构建在层次结构中，策略和组织单位可以在彼此之内构建以用于管理。我不禁想到第一次看到的微软Active Directory，但它适用于任何组织单位（OU）和层次结构。每个特定的OU可以应用于它策略，并且用户/组将继承它们所在的OU策略。这也意味着每个用户/组一次只能在一个OU中，但可以应用多个策略，因为OU可以嵌套。可以通过区域、用户、组或其他元素创建组。

对于AWS IAM和AWS Organizations ，可能会有一些重叠，但你可以将Organizations 视为包含用户权限的一种方式。IAM策略仍然可以创建，甚至可以通过Organizations 推送，但它是以确定最小特权的一道防护栏。如果用户违反这些政策，则可以使用黑名单或白名单政策来限制它们。这有助于保持用户的权限和安全性，以通过分层策略实施所需的权限。AWS Organizations 是IAM策略可以用来加强安全性的框架。

使用AWS Organizations 限制了用户帐户或脚本创建的手动过程，更简化地推动了帐户创建和策略实施。这将允许使用适当的权限创建组，并限制帐户能够执行的操作。使用服务控制策略（SCP）允许管理员创建策略，并将其应用于他们选择的任何OU或用户帐户上。

当设置AWS Organizations 后，主帐户就创建成功能了，它可用于合并结算，并提供了管理组织和SCP的能力。它并不建议你在这一个帐户下执行工作；委托你实际做什么。 主帐户可以控制一切。另外，启用AWS CloudTrail来验证帐户的操作也可能是明智的。

最后，AWS Organizations 服务允许在整个组织中 合并结算后设置单一的付款方式。AWS账户创建很难管理，因为它易于使用，但AWS Organizations允许您将这些账户绑定到一个位置并使用单一付款方式。虽然帐户必须作为这个方法的一部分，但它有助于创建更简单的方法来查看要记帐的内容，来跟踪你的AWS付款。