创建AWS Organizations&SCP

Hello大家好，欢迎回来，我们今天视频课程的内容是从头开始创建一个AWS组织，加入组织，以及演示AWS组织的两个功能集的内容。。

演示环境

为了演示我们准备了两个AWS账户，左边的账户我们使用safari浏览器登陆，准备创建组织，作为主账户；

右边的账户我们使用google chrome浏览器登陆，作为加入组织的成员账户。

我们现在已经分别使用根账号登陆了两个AWS账户，然后通过管理控制台右上角，我们分别可以看到两个账户对应的账户ID

创建组织

我们要在左边的这个账户上创建AWS组织，我们现在打开AWS Organizations管理控制台，点击创建组织。

默认情况下，组织在创建时已启用所有功能，包括整合账单功能。您也可以创建自己的组织并仅启用整合账单功能。

我们的演示选择创建启用所有功能的组织，选择后点击创建组织。

好的，现在组织已经创建完了，这里会看到一个默认账户作为主账户，也就是我们当前的AWS账户。

我们要使用AWS组织的整合账户以及策略控制功能，我们就需要添加其他账户进来作为成员账户，点击添加账户，

在这里可以邀请现有账户，以及创建新的账户，因为我们已经有一个想要作为成员账户的AWS账户，所以我们选择邀请现有AWS账户。

邀请账户加入组织

在电子邮件或者账户ID输入框中输入您要邀请的账户信息，我们将google chrome浏览器的账户id复制进来，邀请它加入组织。

这里要说明一个情况，也是大家可能会遇到的一个问题，如果您的AWS组织是刚刚创建的，AWS需要一段时间进行初始化，AWS官方的说明是需要1个小时，但是在实际的情况中很多反馈都需要24小时以上才能完成初始化。如果AWS没有初始化完成，在你进行邀请账户的时候，可能会提示“您超出了组织的账户限制或因组织仍在初始化而无法添加账户或类似的信息，如果您遇到了这个问题且等了很久还是这个提示，需要联系 AWS Support解决。

我们现在已经向2732这个账户成功发送了邀请，我们现在要做的，切换到google chrome浏览器。

进入到AWS Organizations管理控制台。

会看到有一个新的邀请，点击查看1个邀请，可以看到这个邀请的详细信息包括组织ID等等，以及该组织已启用所有功能，可以完全控制您的账户的说明，然后点击“接受邀请”。

当完成后，我们切换到主账户浏览器，刷新下，可以看到刚刚添加的账户已经成功加入了AWS组织。

整合账单

我们看下aws组织整合账单功能是否启用。

我们在切换到成员账户的浏览器，访问我的账单控制面板-整合账单，会跳转到AWS Organizations的控制台，提示此成员账户加入了的组织的详细信息以及已经启用了所有功能包括通过整合账单来为其付费。

说明整合账单功能已经成功启用了。

这样就实现了整合账单功能，在主账户上查看组织的账户的账单及统一支付账单，我们就不在这里演示了。

策略控制

好的，我们接下来开始策略控制内容，首先我们配置一个服务控制策略，然后将它应用到我们的成员账户，最后使用root账户登录成员账户，看一下策略生效情况。

我们现在开始配置策略，切换到在主账户浏览器，进入AWS Organizations管理控制台，策略—选择服务控制策略，然后启用服务控制策略。可以看到当前有一个FullAWSAccess策略，这个策略是默认策略，会附加到每个根、OU 和账户，策略内容是允许所有操作和所有服务。

我们开始创建策略，点击创建策略，我们将创建一个禁止访问s3的策略。

策略名称，我们输入denys3；然后策略部分，选择要添加操作的服务，选择S3,然后我们选择all actions。

添加资源,服务选择S3,资源类型选贼all resources, 添加。确认下策略的内容，没有问题，创建。

这样我们的策略就创建完成了，我们现在把这个策略附加到成员账户。

回到AWS组织的账户页面，点击成员账户iloveaws，然后选择策略选项卡。

看到了目前应用的策略，FullAWSAccess策略，默认会附加到成员账户，可以点击附加添加刚才我们创建的denys3策略。

在我们附加denys3策略前，我们先使用root用户登录成员账户，看下现在是否能否访问S3

我们切换到成员账户的浏览器，进入到S3,可以正常访问S3

接下来，我们在主账户的AWS组织管理控制台，将denys3策略附加到成员账户上。

附加后，现在成员账户应该无法访问S3服务，我们切换到成员账户浏览器，我们使用的是根用户登录的，访问下s3，无法访问。。。

所以，如果在aws组织主账户中附加了一个策略到成员账户，即便是成员账户的root用户，也会受到这个策略的限制。

好的，希望大家能够通过今天的内容熟悉了AWS Organizations服务，它是一个非常棒的服务，通过整合账单或者策略控制能够为您的组织带来很多帮助。

您也可以通过AWS组织的服务控制策略，为企业多账户环境提供安全保障，比如，创建策略内容为禁止所有成员账户禁用aws cloudtrail服务，然后将所有成员账户的cloudtrail操作日志都集中存储至一个中央S3存储桶，集中存储和分析账户的操作日志。希望AWS Organizations能够帮助您在AWS上构建您所需安全控制及安全体系。

以上就是我们今天的课程内容，我们从头开始创建了aws组织，并邀请账户加入组织，演示了整合账单以及策略控制内容。在当前的AWS SAP认证考试中，AWS Organizations的题目在考试中出现的几率非常高，尤其是服务控制策略部分，考试中会对服务控制策略的应用场景和IAM有什么不同？或者策略应用到成员账户后根用户是否受到策略的影响，会将这些知识点虚拟一个场景出来，考察考生。

好了，希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助，如您有任何疑问，请通过以下方式请联系我们：