随着AWS在业务策略和IT基础架构的应用越来越深入，它在每个企业内的部署所采用的方式和规模都各不相同。通常，IT开发团队的AWS部署与运行具有成百上千个用户和多个业务部门的大型IT商店的复杂性相冲突。云控制和复杂性成为主要的问题。

当个人和工作组为特定项目或应用创建帐户和AWS资源时，几乎不可能维持IT和业务流程所需要的控制。AWS Organizations是一种服务，旨在满足那些将生产工作负载和内部开发项目迁移到AWS的大型企业的需求。Organizations的管理平台针对多个AWS帐户，并为整个企业用户群体提供层次化和基于角色的策略。

回归本源

在深入了解AWS Organizations的特性之前，回顾AWS云服务的基本知识很重要。帐户是Amazon服务的主要计费实体；它们可以安全地隔离不同的AWS环境、应用和用户。在IT专业人员使用AWS之前，他必须创建一个帐户，因为它会累积服务费用。由于基于帐户的计费对于大型企业来说是有问题的， AWS将综合计费作为一个保护伞，以累积对多个子帐户的收费。

AWS Organizations在AWS re:Invent 2016上对外公布，并于2017年2月正式发布，它旨在解决大公司分层和重叠的业务单元、项目和工作组的复杂组合。IT专业人员可以为大型AWS用户简化并且自动化AWS帐户的创建。企业还可以将逻辑上连接在一起的帐户组织起来，简化用户的管理，并始终执行基于组织单元的安全策略。

虽然对于小型企业和初创企业来说AWS Organizations有些过度，但对于那些将AWS作为其核心IT基础设施的部分大型公司来说，这项服务可能是无价的。

概念与功能AWS Organizations为帐户管理引入了几个管理功能。服务将所有在中央管理下的AWS帐户组合成一个基本组织。每个组织包括：

• 使用服务的单个AWS帐户，并且可以通过AWS身份和访问管理(IAM)策略来控制用户及其角色；
• 管理和累积所有其他帐户费用的主账户；
• 组织单位（OU），使用相似策略的逻辑分组。
  OU是一种管理结构，可以包括分层结构中的帐户和其他OU。但是OU层次结构并不严格，因为一个帐户可以属于多个OU。树视图功能可以让管理员浏览帐户和OU以查看分层结构并应用策略。

管理员只能使用主帐户在组织内创建其他用户帐户。他们可以使用AWS Management Console手动创建帐户，也可以使用Organizations API以编程方式创建帐户。将每个用户帐户分配给一个IAM角色，该角色定义访问和使用AWS资源的权限。主账户还可以将现有帐户邀请到一个组织，这会触发一个类似于Facebook的好友请求的过程，并需要帐户所有者的肯定响应。

使用AWS命令行接口实现自动帐户创建，并使用以下语法：

create-account
–email <value>
–account-name <value>
[–role-name <value>]
[–iam-user-access-to-billing <value>]

管理员通过两种类型的策略描述来控制组织中的帐户和资源使用：

• 组织控制策略（OCP）是一种将访问和安全策略应用于整个组织，OU或单个帐户的模板。OCP是分级的，这意味着父OU策略自动应用于所有子组织和帐户。
• 服务控制策略（SCP）使用类似于防火墙的白名单和黑名单来规范对AWS API的访问。SCP和IAM角色权限相结合来提供和管理访问。

充分利用AWS Organizations最佳实践

AWS Organizations为企业管理员提供了在粒度级别上控制资源使用的能力，这些策略适用于用户、角色、服务、API或OU。除了对IT费用进行集中财务控制的固有好处之外，AWS Organizations还降低了AWS的总体费用，因为组织内的所有帐户都被视为用于计费的帐户。这意味着它们可以共享某些资源，例如预留实例（RI），以节省资金。综合计费使您更容易获得更高的批量折扣。

例如，AWS自动对每小时和预付费用达到50万美元以上的Elastic Compute Cloud RI优惠5％。超过400万美元则优惠10％。

但管理员必须提前计划以便有效地使用AWS Organizations。在re:Invent 2016的一个分会场里，亚马逊首席技术项目经理Anders Samuelsson提供了一些最佳实践：

• 通过主帐户监视活动，但不要使用它来管理资源。只使用有AWS CloudTrail的主帐户。通过CloudTrail在主帐户中积累资源，以了解AWS的总体活动和开销。
• 在分配访问权限时使用最小特权的标准安全性做法，并使用OU来定义对帐户和用户角色的控制。这样就更容易将组织结构与AWS访问所需的级别相匹配
• 尽管SCP支持允许和拒绝规则，但请勿在同一策略中混合使用白名单和黑名单；这将导致意大利面条式的代码。在将其分配给OU之前，对单个帐户进行测试，并且不要在不进行测试的情况下部署控件。避免在主帐户上向组织基础分配过于宽泛的控制。

使用Organizations API和具有OCP和SCP的Cloud Formation模板来自动化帐户创建和策略执行。自动化确保了IAM角色和策略的一致性，并且可以预先配置选项，例如使用某些虚拟私有云和使用日志。