Skip to content
Khoá học AWSAdvanced TopicsAWS Organizations

AWS Organizations là gì

AWS Organizations là dịch vụ giúp bạn tập trung quản lý nhiều tài khoản AWS trong một tổ chức duy nhất. Thay vì vận hành từng account riêng lẻ, bạn có thể gom chúng lại, áp dụng chính sách chung, quản lý billing tập trung và đảm bảo tuân thủ bảo mật.

Điều này đặc biệt hữu ích cho doanh nghiệp lớn, tổ chức đa phòng ban, hoặc công ty con trong tập đoàn cần tách biệt tài nguyên nhưng vẫn quản lý tập trung.

⚠️

Lưu ý: AWS Organizations không thay thế IAM. Mỗi tài khoản vẫn có thể (và nên) sử dụng IAM để quản lý người dùng, nhóm và quyền trong phạm vi account đó. IAM user chỉ thuộc về account, không thuộc trực tiếp vào Organization.

Kiến trúc và khái niệm chính

  • Organization

    • Là “cây” quản lý bao gồm root và các OU (Organizational Unit).
    • Một tổ chức có thể chứa nhiều tài khoản AWS.

  • Root Account

    • Tài khoản quản trị cao nhất, thường được dùng để tạo Organization.

  • Organizational Units (OU)

    • Nhóm tài khoản AWS theo bộ phận, dự án, hoặc môi trường (dev, test, prod).
    • Hỗ trợ phân cấp (nested OU).

  • Service Control Policies (SCPs)

    • Chính sách quản lý áp dụng cho OU hoặc tài khoản.
    • Cho phép hoặc giới hạn quyền sử dụng dịch vụ (ngay cả khi IAM trong account cấp quyền).

  • Consolidated Billing

    • Gom tất cả chi phí của các account về một nơi để theo dõi và tối ưu hóa.
    • Có thể tận dụng volume discount hoặc Savings Plans/Reserved Instances hiệu quả hơn.
AWS Organizations

Tính năng chính

  1. Quản lý nhiều tài khoản

    • Tạo mới hoặc mời tài khoản hiện tại vào Organization.
    • Tách biệt tài nguyên nhưng quản lý tập trung.

  2. Chính sách tập trung (SCPs)

    • Giới hạn hoặc cho phép dịch vụ theo tổ chức.
    • Ví dụ: chỉ cho phép deploy resource trong Region ap-northeast-1.
⚠️

SCPs không áp dụng cho Management Account

  1. Consolidated Billing

    • Tối ưu hóa chi phí toàn tổ chức.
    • Dễ dàng theo dõi usage từng account.

  2. Tích hợp với dịch vụ AWS khác

    • AWS Control Tower: tự động hóa việc thiết lập landing zone theo best practice.
    • AWS SSO (IAM Identity Center): quản lý đăng nhập tập trung cho toàn Organization.
    • CloudTrail & Config: theo dõi hoạt động tập trung.

Tính kế thừa của SCPs trong Organization

SCP có thể gắn (attach) vào:

  • Root của Organization: áp dụng cho tất cả tài khoản.
  • OU: áp dụng cho tất cả tài khoản trong OU đó và các OU con.
  • Tài khoản riêng lẻ: áp dụng chỉ cho tài khoản đó.
AWS Organizations SCPs

Ưu điểm

  • Quản lý tập trung: dễ dàng áp dụng policy, kiểm soát bảo mật và chi phí.
  • Tách biệt trách nhiệm: mỗi team hoặc bộ phận có account riêng, tránh ảnh hưởng lẫn nhau.
  • Tối ưu chi phí với consolidated billing.
  • Tuân thủ bảo mật nhờ SCPs và tích hợp với Control Tower.
⚠️

AWS Control Tower là gì?

  • Dịch vụ quản trị đa tài khoản (multi-account governance) giúp thiết lập và vận hành môi trường AWS chuẩn (“landing zone”) chỉ với vài bước.
  • Tự động dùng AWS Organizations để tạo OU, account quản lý (Management), Audit.
  • Guardrails:
    • Preventive (dùng SCP) chặn hành động vi phạm.
    • Detective (dùng AWS Config) phát hiện cấu hình sai.

Hạn chế

  • Cần quy hoạch rõ ràng OU và account structure để tránh rối khi tổ chức lớn.
  • SCPs chỉ là chính sách deny/allow ở mức dịch vụ - không thay thế chi tiết IAM policy.
  • Quản lý nhiều account vẫn cần automation (IaC, Control Tower).

Use Cases điển hình

  • Enterprise: Mỗi phòng ban có account riêng, nhưng toàn bộ được quản lý tập trung.
  • Startup scale nhanh: Tách môi trường Dev/Test/Prod ra thành nhiều account.
  • Công ty đa quốc gia: Quản lý account theo khu vực địa lý hoặc pháp lý.
  • Tổ chức cần compliance: Giới hạn dịch vụ/Region bằng SCP.
AWS Outposts & AWS AmplifyAWS IAM Identity Center