本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用管理组织单位 (OUs) AWS Organizations
您可以使用组织单位 (OUs) 将账户组合在一起,作为一个单元进行管理。这将极大简化您的账户管理。例如,您可以将基于策略的控制附加到 OU,该 OU 中的所有账户将自动继承策略。你可以在一个组织 OUs 内创建多个组织,也可以在其他组织 OUs 中创建 OUs。每个 OU 可以包含多个账户,您可以将账户从一个 OU 移动到另一个。但是,OU 名称必须在父 OU 或根内是唯一的。
下图显示了一个由七个账户组成的组织,这些账户在根目录 OUs 下分为四个账户。该组织还有一些政策适用于 OUs。
![\[此图像显示了一个由七个帐户组成的基本组织,这些帐户在根目录下组织成四个组织单位 (OUs)。该组织还有一些政策适用于 OUs。\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/OuExamples.png)
**注意**
组织中有一个根,它 AWS Organizations 会在你第一次建立组织时为你创建。
**Topics**
+ [的最佳实践 OUs](orgs_manage_ous_best_practices.md)
+ [在根和树中导航](navigate_tree.md)
+ [查看 OU 的详细信息](orgs_view_ou.md)
+ [创建 OU](create_ou.md)
+ [重命名 OU](rename_ou.md)
+ [为 OU 添加标签](tag_ou.md)
+ [在账户之间移动 OUs](move_account_to_ou.md)
+ [查看根的详细信息](orgs_view_root.md)
+ [删除 OU](delete-ou.md)
# 管理组织单位 (OUs) 的最佳实践 AWS Organizations
请遵循以下建议,以帮助您完成 AWS Organizations 使用组织单位管理多账户环境的过程(OUs)。
**Topics**
+ [理解 AWS Organizations](#ous_best_practices_intro)
+ [推荐的基础知识 OUs](#ous_best_practices_foundational)
+ [推荐的额外内容 OUs](#ous_best_practices_recommended)
+ [结论](#ous_best_practices_conclusion)
## 理解 AWS Organizations
架构完善的多账户 AWS 环境的基础是 AWS Organizations,它使您能够集中管理和管理多个账户。组织单位 (OU) 是组织中账户的逻辑分组。 OUs 使您能够将帐户组织成层次结构,并帮助您应用管理控制。Or [ganizations 策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html)定义了您可以应用于一组的控制措施 AWS 账户。例如,[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCP) 是一种策略,用于定义组织中的账户可以执行的 AWS 服务 操作,例如 Amazon EC2 Run Instance。
虽然您可以从一个账户开始您的 AWS 旅程,但 AWS 建议您随着工作负载规模和复杂性的增加而设置多个帐户。使用多账户环境是一种 AWS 最佳实践,它可以带来以下好处:
+ **满足各种要求的快速创新**:您可以将资源分配 AWS 账户 给公司内的不同团队、项目或产品,以帮助确保他们每个人都能快速创新,同时满足自己的安全需求。
+ **简化计费**:使用倍数 AWS 账户 可以帮助确定哪个产品或服务系列负责 AWS 收费,从而简化 AWS 成本分摊方式。
+ **灵活的安全控制**:您可以使用多个 AWS 账户 来隔离具有特定安全要求或需要满足严格合规性准则(例如 HIPAA 或 PCI)的工作负载或应用程序。
+ **适应业务流程:您可以以**最能反映公司业务流程的不同需求的方式组织多个 AWS 账户 业务流程,这些业务流程具有不同的运营、监管和预算要求。
## 推荐的基础组织单位 () OUs
您的组织单位 (OUs) 应基于职能或常用控件集,而不是反映公司的报告结构。 AWS 建议您从安全性和基础架构入手。大多数企业都有集中式的团队来满足这些需求,为整个组织提供服务。我们建议 OUs 为这些特定功能创建一组基础知识:
+ **安全性**:用于安全服务。为日志存档、安全只读访问、安全工具和“打碎玻璃”程序分别创建账户。
+ **基础设施**:用于共享的基础设施服务,例如联网和 IT 服务。为您需要的每种基础设施服务分别创建账户。
鉴于大多数公司对生产工作负载有不同的策略要求,因此基础设施和安全性可以嵌套 OUs 于*非生产* (SDLC) 和*生产* (Prod)。SDLC OU 中的账户用于承载非生产工作负载,不应存在来自其他账户的生产依赖项。如果生命周期阶段之间的 OU 策略存在差异,则 SDLC 可以分为多个阶段 OUs (例如,开发阶段和预生产阶段)。Prod OU 中的账户用于承载生产工作负载。
根据您的要求在 OU 级别应用策略来管理 Prod 和 SDLC 环境。通常,在 OU 级别应用策略比在单个账户级别应用策略更好,因为这可以简化策略管理以及任何可能的问题排查。
下图显示了安全和基础架构的基础 OUs (Prod 和 SDLC):
![\[此图像显示了安全和基础架构的基础 OUs (Prod 和 SDLC)。\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/foundational-OUs.png)
## 建议增设组织单位 (OUs)
中央服务到位后,我们建议您创建 OUs 与构建或运行您的产品或服务直接相关的服务。许多 AWS 客户在建立基础 OUs 后构建了以下内容:
+ **沙盒**:个人开发者可以用来进行实验的 AWS 服务沙盒。 AWS 账户 确保这些账户可以与内部网络分离。
+ **工作负载**: AWS 账户 包含托管面向外部的应用程序服务的工作负载。您应该 OUs 在 SDLC 和 Prod 环境(类似于基础环境 OUs)下进行构建,以便隔离和严格控制生产工作负载。
我们还建议根据您的具体需求添加额外的 OUs 维护和持续扩展。以下是基于现有 AWS 客户实践的一些常见主题:
+ P@@ **olicy St** aging:持有 AWS 账户,您可以在其中测试提议的政策变更,然后将其广泛应用于组织。首先在计划的 OU 中实施账户级别的变更,然后慢慢地将变更应用到其他账户以及整个组织的其他部门。 OUs
+ 已@@ **暂停**: AWS 账户 已关闭并等待从组织中删除的内容。将某个会拒绝所有操作的 SCP 附加到此 OU。如果需要还原,请务必在账户上标记详细信息以实现可追溯性。
+ **个人企业用户**:一种受限访问的 OU,包含 AWS 账户 可能需要创建与业务生产力相关的应用程序的业务用户(非开发人员),例如设置 S3 存储桶以与合作伙伴共享报告或文件。
+ **例外**:暂挂 AWS 账户 用于具有高度定制的安全或审计要求的业务用例,这些要求与工作负载组织单位中定义的要求不同。例如, AWS 账户 专门为机密的新应用程序或功能设置一个。在账户 SCPs 级别使用,以满足定制需求。考虑使用 [Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) 和[AWS Config 规则](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)设置检测 EventBridge和反应系统。
+ **部署**:包含 AWS 账户 用于持续集成和持续的部署 delivery/deployment (CI/CD deployments). You can create this OU if you have a different governance and operational model for CI/CD deployments as compared to accounts in the Workloads OUs (Prod and SDLC). Distribution of CI/CD helps reduce the organizational dependency on a shared CI/CD environment operated by a central team. For each set of SDLC/Prod AWS 账户 对于工作负载 OU 中的应用程序,请在部署 OU CI/CD 下创建一个帐户。
+ **过渡**:在将现有账户和工作负载转移到临时暂存区域,然后再移动到组织的标准区域。这可能是因为账户是收购的一部分,以前由第三方管理,或者是旧组织结构中的旧账户。
下图显示了沙箱、工作负载、策略暂存、暂停、个人业务用户、异常、部署和过渡账户的其他 OUs 内容:
![\[此图像显示了沙箱、工作负载、策略暂存、暂停、个人业务用户、异常、部署和过渡账户的其他 OUs 信息。\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/additional-OUs.png)
## 结论
精心设计的多账户策略可以帮助您进行创新 AWS,同时有助于确保满足您的安全性和可扩展性需求。本主题中描述的框架代表了 AWS 最佳实践,您应该将其用作 AWS 旅程的起点。
下图显示了推荐的基础知识 OUs 和其他 OUs内容:
![\[此图像显示了推荐的基础 OUs 和其他 OUs内容。\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/recommended-OUs.png)
# 使用以下命令浏览根和组织单位 (OU) 层次结构 AWS Organizations
要在移动账户 OUs 或附加策略时导航到其他账户或根目录,您可以使用默认的 “树” 视图。
------
#### [ AWS 管理控制台 ]
**以“树”视图形式在组织中导航**
1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在 **[AWS 账户](https://console.aws.amazon.com/organizations/v2/home/accounts)** 页面中 **Organization**(组织)的顶部,选择 **Hierarchy**(层次结构)切换按钮[而不是 **List**(列表)]。
1. 最初出现的树显示的是根目录,仅显示子级 OUs 和帐户的第一级。要展开树结构以显示更深的层级,请选择任何父实体旁边的展开图标(![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/console-expand.png))。要减少视觉混乱和折叠树结构的分支,请选择展开的父实体旁边的折叠图标(![\[Downward-pointing gray triangle icon, commonly used to indicate dropdown menus.\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/console-collapse.png))。
1. 选择 OU 或根的名称以查看其详细信息并执行某些操作。或者,您可以选择名称旁的单选按钮,然后在 **Actions (操作)** 菜单中的实体上执行某些操作。
------
您还可以使用表格形式查看仅在您组织中的账户列表,而无需先导航到 OU 来找到它们。在此视图中,您无法看到任何策略 OUs 或对其附加的策略进行操作。
------
#### [ AWS 管理控制台 ]
**要使用无层次结构的账户平面列表形式查看组织**
1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在**[AWS 账户](https://console.aws.amazon.com/organizations/v2/home/accounts)**页面上,在 “**组织**” 部分的顶部,选择 “** AWS 账户 仅查看**” 开关图标将其打开。 ![\[Speech bubble icon representing a chat or conversation interface.\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/console-switch-on.png)。
1. 显示的账户列表不包含任何层次结构。
------
# 通过以下方式查看组织单位 (OU) 的详细信息 AWS Organizations
当您在[AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)中登录组织的管理账户时,可以查看组织 OUs 中的详细信息。
**最小权限**
要查看组织单元 (OU) 的详细信息,您必须拥有以下权限:
`organizations:DescribeOrganizationalUnit`
`organizations:DescribeOrganization` – 仅当使用 Organizations 控制台时才需要
`organizations:ListOrganizationsUnitsForParent` – 仅当使用 Organizations 控制台时才需要
`organizations:ListRoots` – 仅当使用 Organizations 控制台时才需要
------
#### [ AWS 管理控制台 ]
**查看 OU 的详细信息**
1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在**[AWS 账户](https://console.aws.amazon.com/organizations/v2/home/accounts)**页面上,选择要检查的 OU(而不是其单选按钮)的名称。如果您要查看的 OU 是其他 OU 的子级,则选择其父级 OU 旁边的三角形图标以展开 OU,并查看层次结构的下一级。重复操作,直到找到所需的 OU。
**Organizational unit details (组织部门详细信息)** 框显示有关 OU 的信息。
------
#### [ AWS CLI & AWS SDKs ]
**查看 OU 的详细信息**
您可以使用以下命令查看 OU 的详细信息:
+ AWS CLI, AWS SDKs:
+ [list-roots](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-roots.html)
+ [list-children](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-children.html)
+ [describe-organizational-unit](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organizational-unit.html)
以下示例说明如何使用 AWS CLI查找 OU 的 ID。使用 `list-roots` 命令开始遍历层次结构,然后在根上执行 `list-children`,并在其每个子级上迭代执行,直到找到所需的子级,从而找到 OU ID。
```
$ aws organizations list-roots
{
"Roots": [
{
"Id": "r-a1b2",
"Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2",
"Name": "Root",
"PolicyTypes": []
}
]
}
$ aws organizations list-children --parent-id r-a1b2 --child-type ORGANIZATIONAL_UNIT
{
"Children": [
{
"Id": "ou-a1b2-f6g7h111",
"Type": "ORGANIZATIONAL_UNIT"
}
]
}
```
获得 OU ID 后,以下示例说明如何检索有关 OU 的详细信息。
```
$ aws organizations describe-organizational-unit --organizational-unit-id ou-a1b2-f6g7h111
{
"OrganizationalUnit": {
"Id": "ou-a1b2-f6g7h111",
"Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h111",
"Name": "Production-Apps",
"Path": "o-aa111bb222/r-a1b2/ou-a1b2-f6g7h111/"
}
}
```
+ AWS SDKs:
+ [ListRoots](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListRoots.html)
+ [ListChildren](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListChildren.html)
+ [DescribeOrganizationalUnit](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeOrganizationalUnit.html)
------
# 使用创建组织单位 (OU) AWS Organizations
登录组织的管理账户后,可以在组织的根目录中创建 OU。 OUs 最多可以嵌套五层。要创建 OU,请完成以下步骤。
**重要**
如果使用管理此组织 AWS Control Tower,则使用 AWS Control Tower 控制台或创建您的 OUs 组织 APIs。如果您在 Organizations 中创建 OU,则该组织单位未在其中注册 AWS Control Tower。有关更多信息,请参阅《AWS Control Tower 用户指南》**中的[引用 AWS Control Tower的外部资源](https://docs.aws.amazon.com/controltower/latest/userguide/external-resources.html#ungoverned-resources)。
**最小权限**
要在组织的根中创建 OU,您必须拥有以下权限:
`organizations:DescribeOrganization` – 仅当使用 Organizations 控制台时才需要
`organizations:CreateOrganizationalUnit`
## AWS 管理控制台
**创建 OU**
1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 导航到**[AWS 账户](https://console.aws.amazon.com/organizations/v2/home/accounts)**页面。
控制台会显示根 OU 及其内容。首次访问根时,控制台在该顶级视图中显示所有 AWS 账户 。如果您之前创建了账户 OUs 并将其移入其中,则控制台将仅显示顶级账户 OUs 以及您尚未移入 OU 的所有账户。
1. (可选)如果要在现有 OU 内创建 OU,请通过选择[子 OU 的名称(不是复选框)来导航](navigate_tree.md)到子组织单位,或者 OUs 在树视图中选择![\[Gray cloud icon with an arrow pointing downward, indicating download or cloud storage.\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/expand-icon.png)下一个组织单位,直到看到想要的 OU,然后选择其名称。
1. 在层次结构中选择了正确的父 OU 后,在 **Actions (操作)** 菜单上的 **Organizational Unit (组织部门)** 下,选择 **Create new (新建)**
1. 在 **Create organizational unit (创建组织部门)** 对话框中,键入要创建的 OU 的名称。
1. (可选)添加一个或多个标签,方法是选择 **Add tag (添加标签)**,然后输入一个键和可选的值。将值留空,设置为空字符串;它并非 `null`。您最多可以向 OU 附加 50 个标签。
1. 最后,选择 **Create organizational unit (创建组织部门)**。
您的新 OU 显示在父级内部。现在,您可以[将账户移动到此 OU](move_account_to_ou.md) 或者为其附加策略。
## AWS CLI & AWS SDKs
**创建 OU**
以下代码示例演示如何使用 `CreateOrganizationalUnit`。
------
#### [ .NET ]
**适用于 .NET 的 SDK**
还有更多相关信息 GitHub。在 [AWS 代码示例存储库](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples)中查找完整示例,了解如何进行设置和运行。
```
using System;
using System.Threading.Tasks;
using Amazon.Organizations;
using Amazon.Organizations.Model;
///
/// Creates a new organizational unit in AWS Organizations.
///
public class CreateOrganizationalUnit
{
///
/// Initializes an Organizations client object and then uses it to call
/// the CreateOrganizationalUnit method. If the call succeeds, it
/// displays information about the new organizational unit.
///
public static async Task Main()
{
// Create the client object using the default account.
IAmazonOrganizations client = new AmazonOrganizationsClient();
var orgUnitName = "ProductDevelopmentUnit";
var request = new CreateOrganizationalUnitRequest
{
Name = orgUnitName,
ParentId = "r-0000",
};
var response = await client.CreateOrganizationalUnitAsync(request);
if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
{
Console.WriteLine($"Successfully created organizational unit: {orgUnitName}.");
Console.WriteLine($"Organizational unit {orgUnitName} Details");
Console.WriteLine($"ARN: {response.OrganizationalUnit.Arn} Id: {response.OrganizationalUnit.Id}");
}
else
{
Console.WriteLine("Could not create new organizational unit.");
}
}
}
```
+ 有关 API 的详细信息,请参阅 *适用于 .NET 的 AWS SDK API 参考[CreateOrganizationalUnit](https://docs.aws.amazon.com/goto/DotNetSDKV3/organizations-2016-11-28/CreateOrganizationalUnit)*中的。
------
#### [ CLI ]
**AWS CLI**
**在根 OU 或父 OU 中创建 OU**
以下示例演示如何创建名为 AccountingOU 的 OU:
```
aws organizations create-organizational-unit --parent-id r-examplerootid111 --name AccountingOU
```
输出包括一个 organizationalUnit 对象,其中包含有关新 OU 的详细信息:
```
{
"OrganizationalUnit": {
"Id": "ou-examplerootid111-exampleouid111",
"Arn": "arn:aws:organizations::111111111111:ou/o-exampleorgid/ou-examplerootid111-exampleouid111",
"Name": "AccountingOU"
}
}
```
+ 有关 API 的详细信息,请参阅*AWS CLI 命令参考[CreateOrganizationalUnit](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/create-organizational-unit.html)*中的。
------
# 将组织单位 (OU) 重命名为 AWS Organizations
登录到组织的管理账户时,您可以重命名 OU。为此,请完成以下步骤。
**最小权限**
要在 组织的根中重命名 OU,您必须拥有以下权限:
`organizations:DescribeOrganization` – 仅当使用 Organizations 控制台时才需要
`organizations:UpdateOrganizationalUnit`
------
#### [ AWS 管理控制台 ]
**重命名 OU**
1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在 **[AWS 账户](https://console.aws.amazon.com/organizations/v2/home/accounts)**页面中,[导航到要重命名的 OU](navigate_tree.md),然后执行以下步骤之一:
+ 选择要重命名的 OU 旁边的单选按钮 ![\[Blue circular icon with a white checkmark symbol in the center.\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/radio-button-selected.png)。然后,在 **Actions (操作)** 菜单中的 **Organizational unit (组织部门)** 下,选择 **Rename (重命名)**。
+ 选择 OU 的名称,以访问 OU 的详细信息页面。然后再页面的顶部选择 **Rename (重命名)**。
1. 在 **Rename organizational unit (重命名组织部门)** 对话框中,输入新名称,然后选择 **Save changes (保存更改)**。
------
#### [ AWS CLI & AWS SDKs ]
**重命名 OU**
您可以使用以下命令之一重命名 OU:
+ AWS CLI: [update-organizational-unit](https://docs.aws.amazon.com/cli/latest/reference/organizations/update-organizational-unit.html)
以下示例演示了如何重命名 OU。
```
$ aws organizations update-organizational-unit \
--organizational-unit-id ou-a1b2-f6g7h222 \
--name "Renamed-OU"
{
"OrganizationalUnit": {
"Id": "ou-a1b2-f6g7h222",
"Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h222",
"Name": "Renamed-OU",
"Path": "o-aa111bb222/r-a1b2/ou-a1b2-f6g7h222/"
}
}
```
+ AWS SDKs: [UpdateOrganizationalUnit](https://docs.aws.amazon.com/organizations/latest/APIReference/API_UpdateOrganizationalUnit.html)
------
# 使用标记组织单位 (OU) AWS Organizations
登录到组织的管理账户后,您可以添加或删除附加到 OU 的标签。为此,请完成以下步骤。
**最小权限**
要编辑附加到组织中根内的 OU 的标签,您必须拥有以下权限:
`organizations:DescribeOrganization` – 仅当使用 Organizations 控制台时才需要
`organizations:DescribeOrganizationalUnit` – 仅当使用 Organizations 控制台时才需要
`organizations:TagResource`
`organizations:UntagResource`
------
#### [ AWS 管理控制台 ]
**编辑附加到 OU 的标签**
1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在 **[AWS 账户](https://console.aws.amazon.com/organizations/v2/home/accounts)**页面中,[导航到要编辑其标签的 OU](navigate_tree.md) 并选择其名称。
1. 在 OU 的详细信息页面上,选择 **Tags (标签)** 选项卡,然后选择 **Manage tags (管理标签)**。
1. 您可以在此选项卡上执行以下操作:
+ 编辑任何标签的值,方法是在旧标签上输入新值。您不能修改标签键。要更改键,您必须删除带有旧键的标签,然后添加使用新键的标签。
+ 删除现有标签,方法是选择要重命名的标签旁边的 **Remove (删除)**。
+ 添加新的标签键和值对。选择 **Add tag (添加标签)**,然后在提供的框中输入新的键名称和可选值。如果您将 **Value (值)** 框留空,则值是空字符串;它并非 `null`。
1. 在完成所有要进行的添加、删除和编辑操作之后,选择 **Save changes (保存更改)**。
------
#### [ AWS CLI & AWS SDKs ]
**编辑附加到 OU 的标签**
您可以使用以下命令之一更改附加到 OU 的标签:
+ AWS CLI:[tag-resource](https://docs.aws.amazon.com/cli/latest/reference/organizations/tag-resource.html) 和 [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/organizations/untag-resource.html)
以下示例将标签 `"Department"="12345"` 附加到 OU。注意,`Key` 和 `Value` 区分大小写。
```
$ aws organizations tag-resource \
--resource-id ou-a1b2-f6g7h222 \
--tags Key=Department,Value=12345
```
如果成功,此命令不会产生任何输出。
以下示例从 OU 中删除 `Department` 标签。
```
$ aws organizations untag-resource \
--resource-id ou-a1b2-f6g7h222 \
--tag-keys Department
```
如果成功,此命令不会产生任何输出。
+ AWS SDKs[TagResource](https://docs.aws.amazon.com/organizations/latest/APIReference/API_TagResource.html) 和 [UntagResource](https://docs.aws.amazon.com/organizations/latest/APIReference/API_UntagResource.html)
------
# 将帐户移至组织单位 (OU) 或在根和组织单位之间移 OUs 动 AWS Organizations
登录到组织的管理账户时,您可以将组织中的账户从根移动到某个 OU,从一个 OU 移动到另一个,或者从 OU 中移动回根。将账户置于 OU 内会使其受附加到父 OU 以及父链 OUs 中直至根的所有策略的约束。如果账户未在 OU 中,则该账户仅遵循直接附加到根的策略以及任何直接附加到账户上的策略。要移动账户,请完成以下步骤。
**最小权限**
要将账户在 OU 层次结构中移动到新位置,您必须拥有以下权限:
`organizations:DescribeOrganization` – 仅当使用 Organizations 控制台时才需要
`organizations:MoveAccount`
------
#### [ AWS 管理控制台 ]
**将账户移动到 OU**
1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在**[AWS 账户](https://console.aws.amazon.com/organizations/v2/home/accounts)**页面上,找到要移动的一个或多个账户。您可以导航 OU 层次结构,或启用 **View AWS 账户 only (仅限查看亚马逊云科技账户)** 来查看没有 OU 结构的账户的平面列表。如果您有很多账户,您可能需要在列表底部选择 **Load more accounts in '*ou-name*' (加载使用“OU 名称”的更多账户)** 以查找要移动的所有账户。
1. 选中要移动的每个账户名称旁的复选框 ![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/checkbox-selected.png)。
1. 在 **Actions (操作)** 菜单中的 **AWS 账户(亚马逊云科技账户)** 下,选择 **Move (移动)**。
1. 在 **Move AWS 账户(移动亚马逊云科技账户)** 对话框中,选择并导航到要将账户移动到的 OU 或根,然后选择 **Move AWS 账户(移动亚马逊云科技账户)**。
------
#### [ AWS CLI & AWS SDKs ]
**将账户移动到 OU**
您可以使用以下命令之一移动账户:
+ AWS CLI:[move-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/move-account.html)
以下示例将 AWS 账户 从根目录移动到 OU。请注意,您必须同时指定 IDs 源容器和目标容器的。
```
$ aws organizations move-account \
--account-id 111122223333 \
--source-parent-id r-a1b2 \
--destination-parent-id ou-a1b2-f6g7h111
```
如果成功,此命令不会产生任何输出。
+ AWS SDKs: [MoveAccount](https://docs.aws.amazon.com/organizations/latest/APIReference/API_MoveAccount.html)
------
# 使用查看根目录的详细信息 AWS Organizations
在 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)中登录组织的管理账户时,您可以查看管理根的详细信息。
**最小权限**
要查看根的详细信息,您必须拥有以下权限:
`organizations:DescribeOrganization`(仅限控制台)
`organizations:ListRoots`
根是组织单位层次结构中最顶层的容器 (OUs),通常表现为 OU。但是,作为层次结构最顶层的容器,根目录的更改会影响组织 AWS 账户 中的所有其他组织单位和每个组织单位。
------
#### [ AWS 管理控制台 ]
**查看根的详细信息**
1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 导航到 **[AWS 账户](https://console.aws.amazon.com/organizations/v2/home/accounts)**页面,然后选择**根** OU(选择其名称,而不是单选按钮)。
1. **Root (根)** 详细信息页面上将显示根的详细信息。
------
#### [ AWS CLI & AWS SDKs ]
**查看根的详细信息**
您可以使用以下命令之一查看根的详细信息:
+ AWS CLI:[list-roots](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-roots.html)
以下示例说明如何检索根的详细信息,包括组织中当前启用的策略类型:
```
$ aws organizations list-roots
{
"Roots": [
{
"Id": "r-a1b2",
"Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2",
"Name": "Root",
"PolicyTypes": [
{
"Type": "BACKUP_POLICY",
"Status": "ENABLED"
}
]
}
]
}
```
+ AWS SDKs: [ListRoots](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListRoots.html)
------
# 使用删除组织单位 (OU) AWS Organizations
登录组织的管理账户后,可以删除任何不再需要 OUs的账号。
您必须先将所有帐户移出 OU 和任何孩子 OUs,然后才能删除该孩子 OUs。
**最小权限**
要删除 OU,您必须拥有以下权限:
`organizations:DescribeOrganization` – 仅当使用 Organizations 控制台时才需要
`organizations:DeleteOrganizationalUnit`
## AWS 管理控制台
**删除 OU**
1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在**[AWS 账户](https://console.aws.amazon.com/organizations/v2/home/accounts)**页面上,找到要删除的 OUs ,然后选中每个 OU 名称![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/checkbox-selected.png)旁边的复选框。
1. 选择 **Actions (操作)**,然后在 **Organizational unit (组织部门)** 中,选择 **Delete (删除)**。
1. 要确认要删除 OUs,请输入 OU 的名称(如果您只选择删除一个)或 “删除” 一词(如果您选择了多个),然后选择 “**删除**”。
AWS Organizations 删除 OUs 并将其从列表中删除。
## AWS CLI & AWS SDKs
**删除 OU**
以下代码示例演示如何使用 `DeleteOrganizationalUnit`。
------
#### [ .NET ]
**适用于 .NET 的 SDK**
还有更多相关信息 GitHub。在 [AWS 代码示例存储库](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples)中查找完整示例,了解如何进行设置和运行。
```
using System;
using System.Threading.Tasks;
using Amazon.Organizations;
using Amazon.Organizations.Model;
///
/// Shows how to delete an existing AWS Organizations organizational unit.
///
public class DeleteOrganizationalUnit
{
///
/// Initializes the Organizations client object and calls
/// DeleteOrganizationalUnitAsync to delete the organizational unit
/// with the selected ID.
///
public static async Task Main()
{
// Create the client object using the default account.
IAmazonOrganizations client = new AmazonOrganizationsClient();
var orgUnitId = "ou-0000-00000000";
var request = new DeleteOrganizationalUnitRequest
{
OrganizationalUnitId = orgUnitId,
};
var response = await client.DeleteOrganizationalUnitAsync(request);
if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
{
Console.WriteLine($"Successfully deleted the organizational unit with ID: {orgUnitId}.");
}
else
{
Console.WriteLine($"Could not delete the organizational unit with ID: {orgUnitId}.");
}
}
}
```
+ 有关 API 的详细信息,请参阅 *适用于 .NET 的 AWS SDK API 参考[DeleteOrganizationalUnit](https://docs.aws.amazon.com/goto/DotNetSDKV3/organizations-2016-11-28/DeleteOrganizationalUnit)*中的。
------
#### [ CLI ]
**AWS CLI**
**删除 OU**
以下示例说明如何删除 OU。该示例假设您之前已 OUs 从 OU 中删除了所有账户和其他账户:
```
aws organizations delete-organizational-unit --organizational-unit-id ou-examplerootid111-exampleouid111
```
+ 有关 API 的详细信息,请参阅*AWS CLI 命令参考[DeleteOrganizationalUnit](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/delete-organizational-unit.html)*中的。
------