# Organizasyonlar ,SCP, aws:PrincipalOrgID
## Organizasyonlar:
* Küresel bir hizmettir
* Birden fazla AWS hesabını yönetmeyi sağlar
* Ana hesap, **yönetim hesabıdır**
* Diğer hesaplar **üye (member) hesaplar**dır
* Üye hesaplar yalnızca **bir organizasyona** ait olabilir
* Tüm hesaplar için **birleştirilmiş faturalama** – tek ödeme yöntemi
* Toplam kullanım üzerinden **fiyat avantajı** (EC2, S3 gibi hizmetlerde toplu indirim)
* **Rezerve edilmiş instance'lar ve Tasarruf Planı indirimleri**, tüm hesaplarda paylaşılabilir
* AWS hesap oluşturmayı **otomatikleştirmek için API desteği** mevcuttur
Bir Organizasyon Şeması
İç Akış Şeması
Avantajlar
* **Çoklu Hesap** kullanımı, tek hesap içinde çoklu VPC kullanımına kıyasla daha esnektir
* Faturalama amacıyla **etiketleme standartları** kullanılabilir
* Tüm hesaplarda **CloudTrail** etkinleştirilip log’lar merkezi bir **S3 hesabına** gönderilebilir
* **CloudWatch Logs**, merkezi bir loglama hesabına yönlendirilebilir
* Yönetim amaçlı olarak **Cross Account Role (hesaplar arası rol)** kurulabilir
***
## Güvenlik: Service Control Policies (SCP)
* **IAM politikaları**, kullanıcı ve rolleri sınırlandırmak için OU’lara (Organizatonal Unit) veya hesaplara uygulanabilir
* SCP’ler **yönetim hesabına uygulanmaz** (tam yönetici yetkisi korunur)
* Hedef hesaba erişim için, kökten başlayıp her OU üzerinden geçerek açıkça **izin verilmiş** olmalıdır (IAM gibi varsayılan olarak hiçbir şeye izin vermez)
SCP Hiyerarşisi
İki SCP yöntemi AllowList ve Blocklist mantığı ile gösterilmektedir.
## PrincipalOrgID
`aws:PrincipalOrgID`, bir **kaynak politikasında** kullanılabilir ve sadece **bir AWS Organization üyesi olan hesapların erişimine** izin vermek için kısıtlama sağlar.
