AWS Organizations 是 AWS 用來 「集中管理多個 AWS 帳號」 的服務。
一句話總結:如果你公司有 10 個、100 個甚至 1000 個 AWS 帳號,你不需要登入 100 次去設定密碼策略或查看帳單。透過 Organizations,你可以把這些帳號像「檔案總管」一樣分組管理,並從最上層統一控管權限與付費。
這是企業級架構的基石,也是上一題「Consolidated Billing」背後的管理平台。1. 核心組成元件 (Key Components)
A. Management Account (管理帳號)
- 地位:組織的老大(Root)。
- 功能:負責付錢(Consolidated Billing)、負責建立新帳號、負責制定政策 (SCP)。
- 安全性:這個帳號權限極大,建議開啟 MFA,且不要在裡面部署任何應用程式資源(如 EC2)。
B. Member Accounts (成員帳號)
- 地位:被管理的小弟。
- 功能:實際運行工作負載的地方(如開發環境、生產環境)。
C. Organizational Units (OU, 組織單位)
- 概念:就像電腦裡的 「資料夾」。
- 用途:你可以依據部門(HR, IT, Finance)或環境(Prod, Dev, Test)來建立 OU,把成員帳號丟進去。
- 繼承:你對 OU 設定的政策,會自動套用到該 OU 底下所有的帳號。
2. 殺手級功能:Service Control Policies (SCPs)
這是 AWS Organizations 最重要的技術功能,也是考試必考題。
- 定義:服務控制策略 (SCP) 是一種 JSON 格式的政策,用來設定組織內的 「權限護欄 (Guardrails)」。
- 核心邏輯:SCP 不會「給予」權限,它只能「限制」權限的最大範圍。比喻:IAM 是駕照(准許你開車);SCP 是速限標誌(准許開車,但不能超過 100km/h)。即使你有全權限的駕照,到了這個路段還是被 SCP 限制住。
- 常見用途:禁止特定服務:例如在「Dev OU」中,禁止開啟昂貴的 Redshift 或 c5.metal 機器。區域限制 (Region Lock):規定全公司的帳號 「只能」 在 ap-northeast-1 (東京) 開機器,去其他 Region 開會直接被 Deny。保護關鍵資源:禁止任何成員帳號(包含該帳號的 Administrator)關閉 CloudTrail 日誌。
注意:SCP 不會 影響管理帳號 (Management Account) 本身,只會限制成員帳號。
3. AWS Control Tower (進階自動化)
AWS Organizations 給了你工具,但設定起來還是很繁瑣(要自己建 OU、自己寫 SCP)。
於是 AWS 推出的 AWS Control Tower:
- 功能:它是建立在 Organizations 之上的 「自動化工廠」。
- 用途:一鍵幫你建立符合 AWS 最佳實踐的 Landing Zone (著陸區)。自動幫你分好 OU (Security, Sandbox...)。自動幫你開啟 CloudTrail 和 Config。自動幫你套用常見的 SCP 規則。
- 結論:如果你是新公司要導入多帳號架構,直接用 Control Tower 最快。
4. 超級比一比:SCP vs. IAM Policy
這兩個都是在管權限的 JSON,到底差在哪?
特性IAM PolicySCP (Service Control Policy)作用層級User / Role (帳號內部)Account / OU (組織層級)功能授與 (Grant) 或 拒絕過濾 (Filter) / 限制最大邊界優先順序必須有 IAM Allow 才能做動作必須 同時 通過 SCP 和 IAM 的允許限制對象指定的使用者該帳號下的所有使用者 (包含 Root)常見情境"讓 John 可以讀取 S3""禁止這個帳號下的任何人刪除 CloudTrail"
- 口訣:SCP 是天花板 (最大權限),IAM 是你實際的身高。你能不能摸到天花板,取決於天花板多高(SCP)以及你長多高(IAM)。
5. 考試關鍵字 (Keywords)
- Manage multiple accounts (管理多個帳號)。
- Consolidated Billing (整合帳單)。
- Service Control Policies (SCPs) (服務控制策略)。
- Restrict services across accounts (跨帳號限制服務)。
- Organizational Units (OU) (組織單位)。
- Centralized management (集中管理)。
- Volume discounts (批量折扣)。
總結
- AWS Organizations = 多帳號管理的骨架。
- Consolidated Billing = 幫你省錢(合併帳單)。
- SCP = 幫你管秩序(限制最大權限,防止亂搞)。
