Üye hesaplar yalnızca bir organizasyona ait olabilir
Tüm hesaplar için birleştirilmiş faturalama – tek ödeme yöntemi
Toplam kullanım üzerinden fiyat avantajı (EC2, S3 gibi hizmetlerde toplu indirim)
Rezerve edilmiş instance'lar ve Tasarruf Planı indirimleri, tüm hesaplarda paylaşılabilir
AWS hesap oluşturmayı otomatikleştirmek için API desteği mevcuttur
Bir Organizasyon Şeması
İç Akış Şeması
Avantajlar
Çoklu Hesap kullanımı, tek hesap içinde çoklu VPC kullanımına kıyasla daha esnektir
Faturalama amacıyla etiketleme standartları kullanılabilir
Tüm hesaplarda CloudTrail etkinleştirilip log’lar merkezi bir S3 hesabına gönderilebilir
CloudWatch Logs, merkezi bir loglama hesabına yönlendirilebilir
Yönetim amaçlı olarak Cross Account Role (hesaplar arası rol) kurulabilir
Güvenlik: Service Control Policies (SCP)
IAM politikaları, kullanıcı ve rolleri sınırlandırmak için OU’lara (Organizatonal Unit) veya hesaplara uygulanabilir
SCP’ler yönetim hesabına uygulanmaz (tam yönetici yetkisi korunur)
Hedef hesaba erişim için, kökten başlayıp her OU üzerinden geçerek açıkça izin verilmiş olmalıdır (IAM gibi varsayılan olarak hiçbir şeye izin vermez)
SCP Hiyerarşisi
İki SCP yöntemi AllowList ve Blocklist mantığı ile gösterilmektedir.
PrincipalOrgID
aws:PrincipalOrgID, bir kaynak politikasında kullanılabilir ve sadece bir AWS Organization üyesi olan hesapların erişimine izin vermek için kısıtlama sağlar.
