自從在re:Invent 2016大會(huì)上發(fā)布預(yù)覽版三個(gè)月后，Amazon Web Services最近正式發(fā)布了AWS Organizations。這個(gè)新服務(wù)可在由組織單位（Organizational unit）組成的層次結(jié)構(gòu)中集中管理多個(gè)AWS帳戶，并能通過細(xì)化的訪問權(quán)限應(yīng)用服務(wù)控制策略。

根據(jù)Amazon Web Service首席傳道士Jeff Barr的介紹，很多AWS用戶出于不同原因正在同時(shí)使用多個(gè)帳戶，例如需要循序漸進(jìn)地在不同的部門和團(tuán)隊(duì)中采用云計(jì)算，或僅僅是為了“滿足合規(guī)性方面的嚴(yán)格要求，或創(chuàng)建更強(qiáng)大的隔離壁壘”，例如創(chuàng)建相互嚴(yán)格隔離的開發(fā)、測(cè)試，以及生產(chǎn)環(huán)境。

在VPC peering，EC2鏡像、EBS和RDS快照共享，以及通過IAM角色實(shí)現(xiàn)的跨帳戶控制臺(tái)訪問等跨帳戶功能幫助下，AWS早已支持相同或不同組織的帳戶相互協(xié)作。然而為了對(duì)這些跨帳戶功能的依賴性進(jìn)行一致的管理，運(yùn)維方面將很快面臨挑戰(zhàn)。

針對(duì)這種需求打造的AWS Organizations服務(wù)意在降低運(yùn)維復(fù)雜度，提供“集中管理多個(gè)AWS帳戶，創(chuàng)建由組織單位（OU）組成的層次結(jié)構(gòu)，將不同帳戶分配到不同OU，定義策略，隨后將策略應(yīng)用給整個(gè)層次結(jié)構(gòu)，或也可應(yīng)用給所選OU，甚至特定帳戶”。

　　最重要的AWS Organizations概念包括：

通過選擇一個(gè)主帳戶創(chuàng)建了組織后，可通過邀請(qǐng)的方式添加成員帳戶，或直接在組織內(nèi)部創(chuàng)建成員帳戶，此外還可以編程的方式通過CLI或API添加，這是一個(gè)大家期待已久的功能。然而雖然邀請(qǐng)加入組織的帳戶也可以離開組織，但在組織內(nèi)部直接創(chuàng)建的帳戶無(wú)法離開，也無(wú)法刪除，提到這一點(diǎn)是因?yàn)樵摲?wù)默認(rèn)限制最多可以創(chuàng)建20個(gè)組織帳戶，如果不夠用必須通過申請(qǐng)的方式提高限制。

曾經(jīng)使用過匯總帳單（Consolidated Billing）功能的AWS客戶在遷移至AWS Organization之后可以繼續(xù)保留原本的功能，包括通過預(yù)留的EC2和RDS實(shí)例用量節(jié)約成本的權(quán)益以及大用量折扣。這種情況下，新增的基于策略的訪問控制機(jī)制需要由主帳戶選擇性開啟，隨后需要得到所有成員帳戶的確認(rèn)。僅使用訪問控制機(jī)制但不使用匯總帳單的做法目前

尚不支持。一個(gè)組織中的每個(gè)帳戶均可分配給一個(gè)組織單位(OU)，組織單位最多可支持五級(jí)層次結(jié)構(gòu)。該層次結(jié)構(gòu)從根容器開始，根容器是獨(dú)立于組織存在的，這種設(shè)計(jì)主要是為了在未來(lái)實(shí)現(xiàn)對(duì)更多層次結(jié)構(gòu)的支持，而這種方式正是最近剛剛發(fā)布的Amazon Cloud Directory服務(wù)的基礎(chǔ)。
閱讀英文原文：AWS Organizations Offers Centralized Policy-Based Account Management