IAM 和 AWS 组织之间的区别答案

【问题标题】：The differences between IAM and AWS OrganizationIAM 和 AWS 组织之间的区别
【发布时间】：2023-03-10 04:00:02
【问题描述】：

我正在阅读有关 AWS Identity and Access Management (IAM) 和 AWS Organizations 的信息。

他们都为我们提供了新帐户和应用政策：

AWS 组织：将策略应用于账户。
IAM：使您能够安全地控制对 AWS 服务的访问为您的用户提供资源。

问题：

那么它们之间有什么区别呢？
与其他服务相比，我应该使用什么服务？

我已经阅读了this post，这让我“可以在 AWS 的整合账单功能中使用的 OU”

【问题讨论】：

标签： amazon-web-services amazon-iam aws-organizations

【解决方案1】：

AWS Organizations 控制来自“父”AWS 账户的多个 AWS 账户的权限。例如，如果公司的 IT 部门有一个 AWS 账户，而财务部门有另一个 AWS 账户，您可以使用“父级”中的 AWS Organizations 来限制这些账户中可以使用的服务，并监控它们的合规性。 " 或 "root" AWS 帐户。

AWS IAM 用于提供访问 AWS API 的权限。您将在特定 AWS 账户中创建 IAM 账户，以提供对该 AWS 账户中view/create/update/modify 资源的访问权限。

当你开始接触跨账户 IAM 角色和 AWS Single Sign-On 等时，还有更多，但总的来说，AWS Organizations 用于管理多个 AWS 账户，而 IAM 用于管理对资源的访问在单个 AWS 账户中。

【讨论】：

哦，谢谢你的回答。我会将其标记为已接受的答案。快乐的一天^^！
感谢您的回答@MarkB。如果 IT 部门有一个 AWS 账户，那么他们分配另一个名为“财务部门”的 IAM 用户并分配这些资源而不是为财务部门拥有一个单独的 AWS 账户是否有意义？
@BKSpureon 不，这根本不起作用。在这种情况下，很难在 AWS 账单上按部门划分成本，而且也很难，有时甚至不可能将不同 IAM 用户的权限分开，因此只有财务用户才能访问财务 AWS 资源，等。将它们拆分为单独的 AWS 账户，在父账户下，自动解决这些问题。

【解决方案2】：

我想给出我自己的答案。如果我弄错了，请随时纠正我。

希望这个答案对您有所帮助。干杯^^！

更新

一个 IAM 组是为某些 IAM 用户设置一组特定的策略（权限）来访问某些资源；即：EC2、S3 等。但是，AWS 组织 OU 是一种管理多个 AWS 账户并将特定策略应用于账户组的方法。所以，这两个是非常不同的东西，它们取得了非常不同的结果。一些组织可以拥有 20、30 或更多的 AWS 账户，因此最好将它们放置在组织单位（OU）中以简化管理。

它们之间的主要区别是：

AWS 组织：创建一个新的 AWS 账户（看起来您注册了一个新账户，但没有提供信用卡、其他信息等）。因此，您可以使用 AWS 的整合账单功能。
IAM：AWS Organization 下的用户帐户。

假设您有一家拥有根帐户的 IT 公司，AWS Organization 能够帮助您管理多个部门，例如：Development、Tester 等。

通过这种方式，您可以控制每个部门的成本，同时单独保护每个部门的数据。

与其他服务相比，我应该使用哪些服务？

您可以根据需要同时使用它们。

来自https://aws.amazon.com/organizations/的更详细描述

AWS Organizations 可帮助您集中管理和管理您的随着您增长和扩展 AWS 资源的环境。使用 AWS 组织，您可以以编程方式创建新的 AWS 账户并分配资源、分组帐户以组织您的工作流程、申请对帐户或组进行治理的策略，并通过以下方式简化计费为您的所有帐户使用一种付款方式。

【讨论】：