新的名為AWS Organizations的工具目的在于幫助確保云帳戶管理的安全。專家Matthew Pascucci解釋了這一工具的工作原理，以及對其與AWS IAM進行了對比。

在AWS re：Invent大會上，亞馬遜推出了一個新工具，幫助管理員和安全管理員控制多個云帳戶。該工具名為AWS Organizations ，允許管理員創建一組AWS賬戶。AWS Organizations 的安全優勢是什么？與AWS IAM等現有安全工具進行比較它又如何，是它們的補充嗎？

AWS Organizations 目的在于允許在Amazon Web Services（AWS）中工作的云管理員更安全高效地管理帳戶。通常，AWS Organizations 創建可應用于用戶/組的自定義策略，以管理安全性、創建更好的自動化和簡化計費。 與AWS IAM（身份和訪問管理）服務有一些重疊，但它們之間更加互補，它建立了已經到位的IAM策略。

AWS Organizations 允許在新實體下進行帳戶管理。此實體構建在層次結構中，策略和組織單位可以在彼此之內構建以用于管理。我不禁想到第一次看到的微軟Active Directory，但它適用于任何組織單位（OU）和層次結構。每個特定的OU可以應用于它策略，并且用戶/組將繼承它們所在的OU策略。這也意味著每個用戶/組一次只能在一個OU中，但可以應用多個策略，因為OU可以嵌套?？梢酝ㄟ^區域、用戶、組或其他元素創建組。

對于AWS IAM和AWS Organizations ，可能會有一些重疊，但你可以將Organizations 視為包含用戶權限的一種方式。IAM策略仍然可以創建，甚至可以通過Organizations 推送，但它是以確定最小特權的一道防護欄。如果用戶違反這些政策，則可以使用黑名單或白名單政策來限制它們。這有助于保持用戶的權限和安全性，以通過分層策略實施所需的權限。AWS Organizations 是IAM策略可以用來加強安全性的框架。

使用AWS Organizations 限制了用戶帳戶或腳本創建的手動過程，更簡化地推動了帳戶創建和策略實施。這將允許使用適當的權限創建組，并限制帳戶能夠執行的操作。使用服務控制策略（SCP）允許管理員創建策略，并將其應用于他們選擇的任何OU或用戶帳戶上。

當設置AWS Organizations 后，主帳戶就創建成功能了，它可用于合并結算，并提供了管理組織和SCP的能力。它并不建議你在這一個帳戶下執行工作；委托你實際做什么。 主帳戶可以控制一切。另外，啟用AWS CloudTrail來驗證帳戶的操作也可能是明智的。

最后，AWS Organizations 服務允許在整個組織中 合并結算后設置單一的付款方式。AWS賬戶創建很難管理，因為它易于使用，但AWS Organizations允許您將這些賬戶綁定到一個位置并使用單一付款方式。雖然帳戶必須作為這個方法的一部分，但它有助于創建更簡單的方法來查看要記帳的內容，來跟蹤你的AWS付款。