本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 管理組織單位 OUs) AWS Organizations
<a name="orgs_manage_ous"></a>

您可以使用組織單位 (OU) 將帳戶群組在一起，以單一單位的形式進行管理。這可大幅簡化帳戶的管理。例如，您可以將以政策為基礎的控制連接到 OU，而 OU 內的所有帳戶會自動繼承政策。您可以在單一組織內建立多個 OU，您也可以在其他 OU 內建立 OU。每個 OU 可以包含多個帳戶，而且您可以在 OU 之間移動帳戶。但是，OU 的名稱在父系 OU 或根中必須是唯一的。

下圖顯示由七個帳戶組成的組織，這些帳戶在根目錄下組織成四個 OUs。組織也有幾個套用至 OUs 的政策。

![\[此影像顯示一個基本組織，其中包含七個帳戶，這些帳戶在根目錄下組織成四個組織單位 (OUs)。組織也有幾個套用至 OUs 的政策。\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/OuExamples.png)


**注意**  
組織中有一個根，它會在您第一次設定組織時為您 AWS Organizations 建立。

**Topics**
+ [OUs 的最佳實務](orgs_manage_ous_best_practices.md)
+ [導覽根目錄和樹狀目錄](navigate_tree.md)
+ [檢視 OU 的詳細資訊](orgs_view_ou.md)
+ [建立 OU](create_ou.md)
+ [重新命名 OU](rename_ou.md)
+ [標記 OU](tag_ou.md)
+ [在 OUs 之間移動帳戶](move_account_to_ou.md)
+ [檢視根的詳細資訊](orgs_view_root.md)
+ [刪除 OU](delete-ou.md)

# 使用 管理組織單位 (OUs最佳實務 AWS Organizations
<a name="orgs_manage_ous_best_practices"></a>

遵循這些建議，協助您使用 AWS Organizations 組織單位 (OUs) 在 中管理多帳戶環境。

**Topics**
+ [了解 AWS Organizations](#ous_best_practices_intro)
+ [建議的基礎 OUs](#ous_best_practices_foundational)
+ [建議的額外 OUs](#ous_best_practices_recommended)
+ [結論](#ous_best_practices_conclusion)

## 了解 AWS Organizations
<a name="ous_best_practices_intro"></a>

架構良好的多帳戶 AWS 環境的基礎是 AWS Organizations，可讓您集中管理和管理多個帳戶。組織單位 (OU) 是組織中帳戶的邏輯分組。OUs可讓您將帳戶組織成階層，並協助您套用管理控制項。Organizations [政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html)會定義您可以套用至 群組的控制項 AWS 帳戶。例如，[服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCP) 是一種政策，定義組織中帳戶可執行 AWS 服務 的動作，例如 Amazon EC2 執行執行個體。

雖然您可能會使用單一帳戶開始 AWS 旅程，但 AWS 建議您隨著工作負載的大小和複雜性增加而設定多個帳戶。使用多帳戶環境是 AWS 最佳實務，可以提供數種好處：
+ **快速創新與各種需求**：您可以將 配置 AWS 帳戶 給公司內不同的團隊、專案或產品，以協助確保每個團隊都能快速創新，同時允許自己的安全需求。
+ **簡化帳單**：使用多個 AWS 帳戶 可簡化如何配置 AWS 成本，方法是協助識別哪些產品或服務項目需付費 AWS 。
+ **彈性安全控制**：您可以使用多個 AWS 帳戶 來隔離具有特定安全需求的工作負載或應用程式，或需要符合 HIPAA 或 PCI 等嚴格合規準則。
+ **適應業務流程**：您可以 AWS 帳戶 以最能反映公司業務流程多樣化需求的方式組織多個 ，這些業務流程具有不同的營運、法規和預算需求。

## 建議的基礎組織單位 OUs)
<a name="ous_best_practices_foundational"></a>

您的組織單位 OUs) 應該以函數或常見的控制集為基礎，而不是鏡射公司的報告結構。 AWS 建議您從安全和基礎設施開始。大多數企業都有集中式團隊，可針對這些需求為整個組織提供服務。我們建議為這些特定函數建立一組基礎 OUs：
+ **安全**：用於安全服務。建立日誌封存、安全唯讀存取、安全工具和碎片的帳戶。
+ **基礎設施**：用於共用基礎設施服務，例如聯網和 IT 服務。為您需要的每種基礎設施服務類型建立帳戶。

由於大多數公司對生產工作負載有不同的政策要求，基礎設施和安全性可以有*非生產* (SDLC) 和*生產* (Prod) 的巢狀 OUs。SDLC OU 中的帳戶託管非生產工作負載，不應具有來自其他帳戶的生產相依性。如果生命週期階段之間的 OU 政策存在變化，SDLC 可以分割成多個 OUs（例如，開發和預生產）。Prod OU 中的帳戶託管生產工作負載。

在 OU 層級套用政策，以根據您的需求控管 Prod 和 SDLC 環境。一般而言，在 OU 層級套用政策比個別帳戶層級更好，因為它簡化了政策管理和任何潛在的故障診斷。

下圖顯示安全性和基礎設施的基礎 OUs(Prod 和 SDLC)：

![\[此影像顯示安全性和基礎設施的基礎 OUs(Prod 和 SDLC)。\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/foundational-OUs.png)


## 建議的額外組織單位 OUs)
<a name="ous_best_practices_recommended"></a>

中央服務到位後，我們建議建立與建置或執行您的產品或服務直接相關的 OUs。許多 AWS 客戶在建立基礎之後建置下列 OUs：
+ **沙盒**：保留個別開發人員可用來實驗 AWS 帳戶 的 AWS 服務。確保這些帳戶可以從內部網路分離。
+ **工作負載**：包含 AWS 帳戶 託管面向外部的應用程式服務。您應該在 SDLC 和生產環境 （類似基礎 OUs) 下建構 OUs，以隔離和緊密控制生產工作負載。

我們也建議根據您的特定需求，新增額外的 OUs以進行維護和持續擴展。以下是根據現有 AWS 客戶實務的一些常見主題：
+ **政策預備**：保留帳戶，您可以在 AWS 其中測試提議的政策變更，然後再將其廣泛套用至組織。首先，在預期 OU 的帳戶層級實作變更，然後慢慢地在其他帳戶、OUs 和整個組織中進行練習。
+ **已暫停**：包含已關閉且正在等待從組織刪除 AWS 帳戶 的 。將 SCP 連接至此 OU，以拒絕所有動作。如果需要還原帳戶，請確保帳戶已加上可追蹤性的詳細資訊。
+ **個別商業使用者**：包含 的有限存取權 OU， AWS 帳戶 適用於可能需要建立業務生產力相關應用程式的商業使用者 （而非開發人員），例如設定 S3 儲存貯體與合作夥伴共用報告或檔案。
+ **例外**狀況： AWS 帳戶 用於具有高度自訂安全性或稽核需求的業務使用案例的保留，與工作負載 OU 中定義的保留不同。例如，針對機密的新應用程式或功能設定 AWS 帳戶 。在帳戶層級使用 SCPs 以滿足自訂需求。考慮使用 [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) 和 [AWS Config 規則](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)設定 Detect and React 系統。
+ **部署**：包含適用於持續整合和持續交付/部署 (CI/CD 部署） 的 AWS 帳戶 。與工作負載 OU (Prod 和 SDLC) 中的帳戶相比，如果您有不同的 CI/CD 部署控管和操作模型，則可以建立此 OUs。CI/CD 的分佈有助於減少對中央團隊所操作之共用 CI/CD 環境的組織相依性。針對工作負載 AWS 帳戶 OU 中應用程式的每組 SDLC/Prod，在部署 OU 下建立 CI/CD 帳戶。
+ **轉換**：在將現有帳戶和工作負載移至組織的標準區域之前，這會用作現有帳戶和工作負載的暫時保留區域。這可能是因為帳戶是取得的一部分、先前由第三方管理，或是舊組織結構中的舊版帳戶。

下圖顯示沙盒、工作負載、政策預備、暫停、個別商業使用者、例外狀況、部署和轉換帳戶的其他 OUs：

![\[此影像顯示沙盒、工作負載、政策預備、暫停、個別商業使用者、例外狀況、部署和轉換帳戶的其他 OUs。\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/additional-OUs.png)


## 結論
<a name="ous_best_practices_conclusion"></a>

架構良好的多帳戶策略可協助您創新 AWS，同時有助於確保您符合安全和可擴展性需求。本主題中描述的架構代表您應做為 AWS 旅程起點的 AWS 最佳實務。

下圖顯示建議的基礎 OUs和其他 OUs：

![\[此影像會顯示建議的基礎 OUs和其他 OUs。\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/recommended-OUs.png)


# 使用 導覽根和組織單位 (OU) 階層 AWS Organizations
<a name="navigate_tree"></a>

在移動帳戶或連接政策時，若要導覽至不同的 OU 或導覽至根，您可以使用預設「樹狀目錄」檢視。

------
#### [ AWS 管理主控台 ]

**將組織作為「樹狀目錄」導覽**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在 **[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)** 頁面 **Organization** (組織) 區段的頂部，選取**Hierarchy** (階層) 切換 (而不是**List** (清單))。

1. 樹狀目錄一開始會顯示根，僅顯示子 OU 和帳戶的第一層。若要展開樹狀目錄以顯示更深的層級，請選擇任何父實體旁的展開圖示 (![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/console-expand.png))。若要降低雜亂和收合樹狀目錄的分支，請選擇已展開的父實體旁的折疊圖示 (![\[Downward-pointing gray triangle icon, commonly used to indicate dropdown menus.\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/console-collapse.png))。

1. 選擇 OU 或根的名稱，以檢視其詳細資訊並執行特定操作。或者，您可以選擇名稱旁的選項按鈕，並在 **Actions** (動作) 選單中執行對該實體的特定操作。

------

您還可以僅以表格形式檢視組織中帳戶的清單，而不必先導覽至 OU 來尋找它們。在此檢視中，您無法看到任何 OU，或操控連接到它們的政策。

------
#### [ AWS 管理主控台 ]

**以沒有階層的平面帳戶清單來檢視組織**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在**[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)**頁面**的組織**區段頂端，選擇** AWS 帳戶 僅檢視**切換圖示以將其開啟。 ![\[Speech bubble icon representing a chat or conversation interface.\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/console-switch-on.png)

1. 不含任何階層的帳戶清單會隨即顯示。

------

# 使用 檢視組織單位 (OU) 的詳細資訊 AWS Organizations
<a name="orgs_view_ou"></a>

在 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)登入組織的管理帳戶時，您可以檢視組織中 OU 的詳細資訊。

**最低許可**  
若要檢視組織單位 (OU) 的詳細資訊，您必須擁有以下許可：  
`organizations:DescribeOrganizationalUnit`
`organizations:DescribeOrganization` – 僅在使用 Organizations 主控台時才需要
`organizations:ListOrganizationsUnitsForParent` – 僅在使用 Organizations 主控台時才需要
`organizations:ListRoots` – 僅在使用 Organizations 主控台時才需要

------
#### [ AWS 管理主控台 ]<a name="view_details_ou_v2"></a>

**檢視 OU 的詳細資訊**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在 **[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)** 頁面上，選擇您要檢查的 OU (而非選項按鈕) 名稱。如果您所需的 OU 是另一個 OU 的子項，選擇其父項 OU 旁邊的三角形圖示以將其展開，並查看階層下一級中的那些項目。重複此操作，直至您找到所需的 OU。

   **Organizational unit details** (組織單位詳細資訊) 方塊會顯示 OU 的相關資訊。

------
#### [ AWS CLI & AWS SDKs ]

**檢視 OU 的詳細資訊**  
您可以使用下列命令來檢視 OU 的詳細資訊：
+ AWS CLI， AWS SDKs 
  + [list-roots](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-roots.html) 
  + [list-children](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-children.html) 
  + [describe-organizational-unit](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organizational-unit.html) 

  以下範例顯示如何使用 AWS CLI來尋找 OU 的 ID。您可以透過從 `list-roots` 命令開始周遊階層，然後在根上執行 `list-children` 並對其每個子項反覆執行，來尋找 OU ID，直至找到您所需的一個。

  ```
  $ aws organizations list-roots
  {
      "Roots": [
          {
              "Id": "r-a1b2",
              "Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2",
              "Name": "Root",
              "PolicyTypes": []
          }
      ]
  }
  $ aws organizations list-children --parent-id r-a1b2 --child-type ORGANIZATIONAL_UNIT
  {
      "Children": [
          {
              "Id": "ou-a1b2-f6g7h111",
              "Type": "ORGANIZATIONAL_UNIT"
          }
      ]
  }
  ```

  取得 OU ID 之後，下列範例顯示如何擷取 OU 的詳細資訊。

  ```
  $ aws organizations describe-organizational-unit --organizational-unit-id ou-a1b2-f6g7h111
  {
      "OrganizationalUnit": {
          "Id": "ou-a1b2-f6g7h111",
          "Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h111",
          "Name": "Production-Apps",
          "Path": "o-aa111bb222/r-a1b2/ou-a1b2-f6g7h111/"
      }
  }
  ```
+ AWS SDKs：
  +  [ListRoots](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListRoots.html)
  +  [ListChildren](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListChildren.html)
  +  [DescribeOrganizationalUnit](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeOrganizationalUnit.html)

------

# 使用 建立組織單位 (OU) AWS Organizations
<a name="create_ou"></a>

登入您的組織的管理帳戶時，您可以在組織的根建立一個 OU。OU 可以建立最多達五層的巢狀。若要建立您的第一個 OU，請完成以下步驟。

**重要**  
如果此組織是使用 管理 AWS Control Tower，請使用 AWS Control Tower 主控台或 APIs 建立您的 OUs。如果您在 Organizations 中建立 OU，則該 OU 不會註冊 AWS Control Tower。如需詳細資訊，請參閱*AWS Control Tower 使用者指南*中的[參照 AWS Control Tower外部資源](https://docs.aws.amazon.com/controltower/latest/userguide/external-resources.html#ungoverned-resources)。

**最低許可**  
若要在您的組織的根帳戶內建立 OU，您必須擁有以下許可：  
`organizations:DescribeOrganization` – 僅在使用 Organizations 主控台時才需要
`organizations:CreateOrganizationalUnit`

## AWS 管理主控台
<a name="create_ou_console"></a>

**建立組織單位 (OU)**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 導覽至 **[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)** 頁面。

   主控台會顯示根及其內容。第一次瀏覽根時，主控台會在該最上層檢視中顯示所有的 AWS 帳戶 。如果您之前建立了 OU，並將帳戶移至其中，主控台只會顯示最上層 OU 以及尚未移至 OU 的任何帳戶。

1. (選用) 如果您想要在現有 OU 內建立 OU，請透過選擇子 OU 的名稱 (而不是核取方塊)，或在樹狀檢視中選擇 OU 旁白的 ![\[Gray cloud icon with an arrow pointing downward, indicating download or cloud storage.\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/expand-icon.png)，直至看到您所需的 OU，然後選擇其名稱，來[導覽至子 OU](navigate_tree.md)。

1. 當您在階層中選取正確的父 OU 時，請在 **Actions** (動作) 選單的 **Organizational Unit** (組織單位) 下方，選擇 **Create new** (建立新的)

1. 在 **Create organizational unit** (建立組織單位) 對話方塊中，輸入您要建立的 OU 名稱。

1. (選用) 選擇 **Add tag** (新增標籤)，然後輸入一個鍵和一個選用值，來新增一個或多個標籤。將值留空會將其設定為空白字串；而不是 `null`。您可以在 OU 中連接最多 50 個標籤。

1. 最後，選擇 **Create organizational unit** (建立組織單位)。

您的新 OU 會顯示在父系內。您現在可以[將帳戶移至此 OU](move_account_to_ou.md)，或將政策連接至此 OU。

## AWS CLI & AWS SDKs
<a name="create_ou_cli_sdk"></a>

**建立 OU**

下列程式碼範例示範如何使用 `CreateOrganizationalUnit`。

------
#### [ .NET ]

**適用於 .NET 的 SDK**  
 GitHub 上提供更多範例。尋找完整範例，並了解如何在 [AWS 程式碼範例儲存庫](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples)中設定和執行。

```
    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Creates a new organizational unit in AWS Organizations.
    /// </summary>
    public class CreateOrganizationalUnit
    {
        /// <summary>
        /// Initializes an Organizations client object and then uses it to call
        /// the CreateOrganizationalUnit method. If the call succeeds, it
        /// displays information about the new organizational unit.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            var orgUnitName = "ProductDevelopmentUnit";

            var request = new CreateOrganizationalUnitRequest
            {
                Name = orgUnitName,
                ParentId = "r-0000",
            };

            var response = await client.CreateOrganizationalUnitAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully created organizational unit: {orgUnitName}.");
                Console.WriteLine($"Organizational unit {orgUnitName} Details");
                Console.WriteLine($"ARN: {response.OrganizationalUnit.Arn} Id: {response.OrganizationalUnit.Id}");
            }
            else
            {
                Console.WriteLine("Could not create new organizational unit.");
            }
        }
    }
```
+  如需 API 詳細資訊，請參閱《適用於 .NET 的 AWS SDK API 參考》**中的 [CreateOrganizationalUnit](https://docs.aws.amazon.com/goto/DotNetSDKV3/organizations-2016-11-28/CreateOrganizationalUnit)。

------
#### [ CLI ]

**AWS CLI**  
**在根或父 OU 中建立 OU**  
下列範例示範如何建立名為 AccountingOU 的 OU：  

```
aws organizations create-organizational-unit --parent-id r-examplerootid111 --name AccountingOU
```
輸出包含 organizationalUnit 物件，其中包含新 OU 的詳細資訊：  

```
{
        "OrganizationalUnit": {
                "Id": "ou-examplerootid111-exampleouid111",
                "Arn": "arn:aws:organizations::111111111111:ou/o-exampleorgid/ou-examplerootid111-exampleouid111",
                "Name": "AccountingOU"
        }
}
```
+  如需 API 詳細資訊，請參閱《AWS CLI 命令參考》**中的 [CreateOrganizationalUnit](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/create-organizational-unit.html)。

------

# 使用 重新命名組織單位 (OU) AWS Organizations
<a name="rename_ou"></a>

登入您的組織的管理帳戶時，您可以重新命名 OU。若要執行此動作，請執行下列步驟。

**最低許可**  
若要在您的 組織的根帳戶內重新命名 OU，您必須擁有以下許可：  
`organizations:DescribeOrganization` – 僅在使用 Organizations 主控台時才需要
`organizations:UpdateOrganizationalUnit`

------
#### [ AWS 管理主控台 ]

**重新命名 OU**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在 **[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)** 頁面上，[導覽至](navigate_tree.md)您要重新命名的 OU，然後執行以下其中一個步驟︰
   + 選擇想要重新命名的 OU 旁邊的選項按鈕 ![\[Blue circular icon with a white checkmark symbol in the center.\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/radio-button-selected.png)。然後，在 **Actions** (動作) 選單的 **Organizational unit** (組織單位) 中，選擇 **Rename** (重新命名)。
   + 選擇 OU 的名稱，以存取 OU 的詳細資訊頁面。然後，在頁面頂端選擇 **Rename** (重新命名)。

1. 在 **Rename organizational unit** (重新命名組織單位) 對話方塊中，輸入新名稱，然後選擇 **Save changes** (儲存變更)。

------
#### [ AWS CLI & AWS SDKs ]

**重新命名 OU**  
您可以使用下列其中一項命令來重新命名 OU：
+ AWS CLI: [update-organizational-unit](https://docs.aws.amazon.com/cli/latest/reference/organizations/update-organizational-unit.html)

  下列範例顯示如何將 OU 重新命名。

  ```
  $ aws organizations update-organizational-unit \
      --organizational-unit-id ou-a1b2-f6g7h222 \
      --name "Renamed-OU"
  {
      "OrganizationalUnit": {
          "Id": "ou-a1b2-f6g7h222",
          "Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h222",
          "Name": "Renamed-OU",
          "Path": "o-aa111bb222/r-a1b2/ou-a1b2-f6g7h222/"
      }
  }
  ```
+ AWS SDKs：[UpdateOrganizationalUnit](https://docs.aws.amazon.com/organizations/latest/APIReference/API_UpdateOrganizationalUnit.html)

------

# 使用 標記組織單位 (OU) AWS Organizations
<a name="tag_ou"></a>

登入您的組織的管理帳戶時，您可以新增或移除連接至 OU 的標籤。若要執行此動作，請執行下列步驟。

**最低許可**  
若要編輯連接至您 組織的根內 OU 的標籤，您必須擁有以下許可︰  
`organizations:DescribeOrganization` – 僅在使用 Organizations 主控台時才需要
`organizations:DescribeOrganizationalUnit` – 僅在使用 Organizations 主控台時才需要
`organizations:TagResource`
`organizations:UntagResource`

------
#### [ AWS 管理主控台 ]

**編輯連接至 OU 的標籤**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在 **[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)** 頁面上，[導覽至您要編輯其標籤的 OU ](navigate_tree.md)並選擇其名稱。

1. 在 OU 的詳細資訊頁面上，選擇 **Tags** (標籤) 索引標籤，然後選擇 **Manage tags** (管理標籤)。

1. 您可以在此索引標籤上執行以下任一動作：
   + 透過在舊值上輸入新值來編輯任何標籤的值。您無法修改標籤鍵。若要變更標籤鍵，您必須刪除含有舊標籤鍵的標籤，並新增含有新標籤鍵的標籤。
   + 透過選擇您要移除的標籤旁邊的 **Remove** (移除)，移除現有的標籤。
   + 新增標籤鍵值組。選擇 **Add tag** (新增標籤)，然後在提供的方塊中輸入新的標籤鍵名稱和選用值。如果您將 **Value** (值) 方塊保留空白，則值為空白字串；而不是 `null`。

1. 在您完成所有要進行的新增、移除和編輯之後，選擇 **Save changes** (儲存變更)。

------
#### [ AWS CLI & AWS SDKs ]

**編輯連接至 OU 的標籤**  
您可以使用下列其中一項命令來變更連接至 OU 的標籤：
+ AWS CLI: [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/organizations/tag-resource.html) and [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/organizations/untag-resource.html)

  下列範例會將標籤 `"Department"="12345"` 連接至 OU。請注意，`Key` 和 `Value` 區分大小寫。

  ```
  $ aws organizations tag-resource \
      --resource-id ou-a1b2-f6g7h222 \
      --tags Key=Department,Value=12345
  ```

  此命令成功後就不會產生輸出。

  下列範例會從 OU 中移除 `Department` 標記。

  ```
  $ aws organizations untag-resource \
      --resource-id ou-a1b2-f6g7h222 \
      --tag-keys Department
  ```

  此命令成功後就不會產生輸出。
+ AWS SDKs：[TagResource](https://docs.aws.amazon.com/organizations/latest/APIReference/API_TagResource.html) 和 [UntagResource](https://docs.aws.amazon.com/organizations/latest/APIReference/API_UntagResource.html)

------

# 使用 將帳戶移至組織單位 (OU) 或根帳戶和 OUs 之間 AWS Organizations
<a name="move_account_to_ou"></a>

登入到您的組織的管理帳戶時，您可以將您的組織中的帳戶從根移至 OU，在 OU 間移動，或從 OU 回到根。將帳戶放置在 OU 內，可讓它受限於連接至父 OU 和父系鏈結中任何 OU 的任何政策。如果帳戶不在 OU 中，則僅受限於直接連接至根政策，以及直接連接帳戶的任何政策。若要移動帳戶，請完成以下步驟。

**最低許可**  
若要將帳戶移至 OU 階層中的新位置，您必須擁有以下許可：  
`organizations:DescribeOrganization` – 僅在使用 Organizations 主控台時才需要
`organizations:MoveAccount`

------
#### [ AWS 管理主控台 ]

**將帳戶移至 OU**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在 **[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)** 頁面上，尋找您要移動的一個或多個帳戶。您可以導覽 OU 階層，或啟用**僅檢視 AWS 帳戶 **，以查看沒有 OU 結構的帳戶平面清單。如果您有許多帳戶，您可能需要在清單底部選擇**載入更多採用 '*ou-name*' 的帳戶**，以尋找您想要移動的所有內容。

1. 選擇您要移動的每個帳戶名稱旁邊的核取方塊 ![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/checkbox-selected.png)。

1. 在 **Actions** (動作) 選單的 **AWS 帳戶** 下，選擇 **Move** (移動)。

1. 在 **Move AWS 帳戶** (啟動 AWS 帳戶帳戶)對話方塊中，導覽至至您要移動帳戶的目標 OU 或根並選擇，然後選擇 **Move AWS 帳戶(移動 AWS 帳戶帳戶)**。

------
#### [ AWS CLI & AWS SDKs ]

**將帳戶移至 OU**  
您可以使用下列其中一項命令來移動帳戶：
+ AWS CLI: [move-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/move-account.html)

  下列範例會將 AWS 帳戶 從根目錄移至 OU。請注意，您必須指定來源和目的地容器的 ID。

  ```
  $ aws organizations move-account \
      --account-id 111122223333 \
      --source-parent-id r-a1b2 \
      --destination-parent-id ou-a1b2-f6g7h111
  ```

  此命令成功後就不會產生輸出。
+ AWS SDKs：[MoveAccount](https://docs.aws.amazon.com/organizations/latest/APIReference/API_MoveAccount.html)

------

# 使用 檢視根的詳細資訊 AWS Organizations
<a name="orgs_view_root"></a>

當您在[AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)中登入組織的管理帳戶時，您可以檢視管理根的詳細資訊。

**最低許可**  
若要檢視根的詳細資訊，您必須擁有以下許可：  
`organizations:DescribeOrganization` (僅限主控台)
`organizations:ListRoots` 

根是組織單位 (OU) 階層中最上層的容器，而且通常會像 OU 一樣運作。不過，作為階層最上層的容器，根的變更會影響 AWS 帳戶 組織中的每個其他 OU 和每個 。

------
#### [ AWS 管理主控台 ]<a name="view_details_root_v2"></a>

**檢視根的詳細資訊**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 導覽至 **[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)** 頁面，然後選擇 **Root** (根) OU (其名稱，而非選項按鈕)。

1. **Root** (根) 詳細資訊會隨即出現，並顯示根的詳細資訊。

------
#### [ AWS CLI & AWS SDKs ]

**檢視根的詳細資訊**  
您可以使用下列其中一項命令來檢視根帳戶的詳細資訊：
+ AWS CLI: [list-roots](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-roots.html) 

  以下範例顯示如何擷取根的詳細資訊，包括目前在組織中啟用的政策類型：

  ```
  $ aws organizations list-roots
  {
      "Roots": [
          {
              "Id": "r-a1b2",
              "Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2",
              "Name": "Root",
              "PolicyTypes": [
                  {
                      "Type": "BACKUP_POLICY",
                      "Status": "ENABLED"
                  }
              ]
          }
      ]
  }
  ```
+ AWS SDKs：[ListRoots](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListRoots.html)

------

# 使用 刪除組織單位 (OU) AWS Organizations
<a name="delete-ou"></a>

登入到您的組織的管理帳戶時，您可以刪除不再需要的任何 OU。

您必須先將所有帳戶從 OU 和任何子 OU 移出，然後才能刪除子 OU。

**最低許可**  
若要刪除 OU，您必須擁有以下許可：  
`organizations:DescribeOrganization` – 僅在使用 Organizations 主控台時才需要
`organizations:DeleteOrganizationalUnit`

## AWS 管理主控台
<a name="delete-ou-console"></a>

**刪除 OU**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在 **[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)** 頁面上，尋找您要刪除的 OU，然後選擇每個 OU 名稱旁邊的核取方塊 ![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/checkbox-selected.png)。

1. 選擇 **Actions** (動作)，然後在 **Organizational unit** (組織單位) 下，選擇 **Delete** (刪除)。

1. 若要確認您要刪除 OU，請輸入 OU 的名稱 (如果您選擇僅刪除一個 OU) 或 'delete' 一詞 (如果您選擇多個 OU)，然後選擇 **Delete** (刪除)。

   AWS Organizations 會刪除 OUs並從清單中移除它們。

## AWS CLI & AWS SDKs
<a name="delete-ou-cli-sdk"></a>

**刪除 OU**

下列程式碼範例示範如何使用 `DeleteOrganizationalUnit`。

------
#### [ .NET ]

**適用於 .NET 的 SDK**  
 GitHub 上提供更多範例。尋找完整範例，並了解如何在 [AWS 程式碼範例儲存庫](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples)中設定和執行。

```
    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to delete an existing AWS Organizations organizational unit.
    /// </summary>
    public class DeleteOrganizationalUnit
    {
        /// <summary>
        /// Initializes the Organizations client object and calls
        /// DeleteOrganizationalUnitAsync to delete the organizational unit
        /// with the selected ID.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            var orgUnitId = "ou-0000-00000000";

            var request = new DeleteOrganizationalUnitRequest
            {
                OrganizationalUnitId = orgUnitId,
            };

            var response = await client.DeleteOrganizationalUnitAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully deleted the organizational unit with ID: {orgUnitId}.");
            }
            else
            {
                Console.WriteLine($"Could not delete the organizational unit with ID: {orgUnitId}.");
            }
        }
    }
```
+  如需 API 詳細資訊，請參閱《適用於 .NET 的 AWS SDK API 參考》**中的 [DeleteOrganizationalUnit](https://docs.aws.amazon.com/goto/DotNetSDKV3/organizations-2016-11-28/DeleteOrganizationalUnit)。

------
#### [ CLI ]

**AWS CLI**  
**刪除 OU**  
下列範例顯示如何刪除 OU。此範例假設您先前已從 OU 移除所有帳戶和其他 OU：  

```
aws organizations delete-organizational-unit --organizational-unit-id ou-examplerootid111-exampleouid111
```
+  如需 API 詳細資訊，請參閱《AWS CLI 命令參考》**中的 [DeleteOrganizationalUnit](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/delete-organizational-unit.html)。

------