---
title: "AWS Organizations"
type: concept
tags: [aws, governance, multi-account, security]
date: 2025-10-25
---

## Definition
AWS Organizations，AWS 账户集中管理服务，通过组织单位（OU）树形结构对多个 AWS 账户进行分组治理，实现统一策略管理、账单整合和跨账户服务委托。

## Key Properties
- **组织单元（OU）**：账户的逻辑分组，支持嵌套，策略继承
- **服务控制策略（SCP）**：在 OU 或账户级别限制 IAM 权限，超越账户内 IAM 策略
- **可信访问（Trusted Access）**：授权 AWS 服务（如 StackSets）跨账户AssumeRole，无需手动配置
- ** delegated administrator**：为特定服务指定委派管理员账户

## Multi-Account DevOps Role
StackSets 集中日志方案依赖：
- 启用 StackSets 可信访问（Organization 级别授权）
- 指定管理账户为 delegated administrator
- OU ID 作为 StackSets 部署目标范围

## Related Concepts
- [[CloudFormation StackSets]]：依赖 Organizations 实现跨账户授权
- [[Multi-Cloud-Governance]]：Organizations 是 AWS 侧多账户治理的核心框架
- [[Zero-Trust]]：Organizations + SCP 是 Zero Trust 在 AWS 环境的策略实施层

## Source
[[AWS-CloudFormation-StackSets-多账户集中日志监控]]