动手实验 | 启用 AWS Organizations 并添加成员账号
实验目标
本次实验旨在通过 AWS 管理控制台,亲手配置和体验 AWS Organizations 服务。主要作业包括两部分:首先,在一个已有的管理账号中启用 AWS Organizations,并选择启用所有功能特性;其次,学习并实践向该组织内添加一个新的成员账号。通过此实验,将会掌握构建多账号 AWS 环境的基础框架,理解管理账号与成员账号之间的管控关系,为未来实现集中式资源管理、成本合并及安全策略落地打下坚实基础。
技术要点
AWS Organizations 是一项核心的账号治理服务,它允许将多个 AWS 账号整合到一个集中管理的“组织”单元中。启用后,初始的账号自动成为管理账号,拥有绝对控制权,而后续加入的则为成员账号。管理账号可以执行的服务控制策略(SCP)是组织最重要的功能之一,它像一张“中央防火墙策略”,能为所有成员账号设置统一的权限边界,即使账号内的 IAM 管理员也无法越界。此外,组织还支持整合账单、跨账号资源访问等便利。在启用时,可以选择“所有功能”模式以解锁 SCP 等高级管控能力,或“整合账单”模式仅用于财务合并。本实验将采用“所有功能”模式,以体验其完整的治理能力。
作业步骤
本次采用 AWS Console 界面完成作业。
注意:根据项目的具体情况,可以采用不同的实施方法。比如使用命令行(CLI)部署、代码部署 (CloudFomation、Terraform 等)、以及其它开发语言(SDK)完成作业。
步骤一:启用 AWS Organizations
点击页面中央的“创建组织”按钮。系统将展示功能介绍,并提示选择功能集。请务必选择 “所有功能” ,然后点击“创建组织”。AWS 将自动以当前账号为根创建组织,并生成一个根组织单元(Root OU)。
步骤二:确认状态
创建成功后,页面将刷新。在“组织”仪表板上,可以看到本组织的唯一 ID,以及功能集显示为“所有功能”。
步骤三:邀请 AWS 账户
在“账户”标签页下,点击“邀请”按钮。
步骤四:选择邀请现有 AWS 账户
可以同时邀请一个或多个现有 AWS 账户加入组织来向组织添加 AWS 账户。
步骤五:发送邀请
AWS Organizations 会向每个受邀账户的拥有者发送一封电子邮件。
步骤六:受邀请 AWS 账户同意加入
受邀请 AWS 账户的账户拥有人通过点击邮件中的链接并接受邀请,完成加入过程。
结果验证
实验完成后,将拥有一个结构清晰、功能完整的 AWS 组织。
1. 在 Organizations 服务控制台的“仪表板”上,已经显示组织内的所有被邀请账户。
2. 可以创建组织单元(OU),为根 OU 或创建新的 OU,可以将成员账号移动到新 OU 中,进行基本的资源分组管理。