- 全球的服務, 允許同時管理多個AWS Accounts
- 有分主要的management account, 和其他組織底下的member account
- member account只能屬於一個organization底下
- 集中帳戶、安全政策套用管理,單一帳單管理,享受集中管理帶來的價錢優惠。
- Organizational Units (OUs) 讓多個帳號分組在一個組織單位,以便用單一單位進行管理。把這個想像為IAM user group一樣, 只是後者管的IAM user.
- OU可以是以環境去分配的(e.g. Dev, Prod...), 可以是以部門去分配的(e.g. RD, BD...), 可以是以專案去分配的(e.g. Proj1, Proj2...)
- Service Control Policy (SCP) 用來管理組織底下的權限。IAM policies apply to OUs or Accounts, 進而去限制account底下的users / roles。
- 不會套用在management account.
- 跟IAM一樣, 政策權限預設都是deny, 要特別allow才有。
- 主要還是透過AWS Organization去建立、管理帳號,但這裡提供一個更簡單方便的地方,可以更快速、最佳實踐的方式建立多個環境、帳號、權限管理。
- Guardrails 幫你持續治理所有帳號是否有符合最佳實踐的設定
- Proactive controls: 透過AWS個服務本身管控 (e.g. CloudFormation)
- Preventive controls: 透過SCP去管控
- Detective controls: 透過AWS Config去監控
AWS IAM Identity Center (aka AWS Single Sign On)
- 單一登入就能存取其他組織下的所有帳號。
Reference
- https://www.udemy.com/course/aws-certified-solutions-architect-associate-saa-c03