Может ли LRO использовать команда или организация?

Да. LRO одинаково хорошо работает и для одного человека, и для целой команды. Можно начать как одиночный пользователь и оставить всё личным, а можно превратить аккаунт в организацию и подключить коллег — с общими машинами, правами, биллингом и аудит-следом.

Из личного аккаунта в организацию

Любой обычный аккаунт можно сделать корпоративным: вы даёте организации название, и ваш аккаунт становится её первым org-admin. С этого момента это уже не одинокий пользователь, а владелец организации, к которой могут присоединяться другие люди.

Пригласите команду

Org-admin приглашает коллег по почте. Каждое приглашение — одноразовая ссылка с ограниченным сроком; получатель входит (или регистрируется) и присоединяется к организации. Участники могут и сами выйти, а в панели хранится список ожидающих и недавних приглашений, чтобы отозвать неиспользованное.

Две роли: admin и участник

Внутри организации человек — это либо:

• Org-admin — управляет участниками и приглашениями, видит и управляет всеми агентами, эндпоинтами и правами, принадлежащими организации.
• Участник — работает с агентами и эндпоинтами, которыми владеет или к которым ему выдали доступ, без общего управляющего вида по организации.

Повышение и понижение — это само по себе осознанное аудируемое действие, поэтому смена того, у кого ключи, оставляет след.

Делитесь машинами, сохраняя минимум привилегий

Доступ — не «всё или ничего». Агентами и эндпоинтами делятся, выдавая права на конкретного пользователя и конкретный эндпоинт — при желании со сроком действия — поэтому каждый коллега достаёт только нужные ему машины и ничего лишнего. Org-admin видит всю картину по команде, участник — только свою часть. Это прямо ложится на ожидания least-privilege и разделения обязанностей.

Один общий баланс

У организации свой баланс. Агенты команды и их трафик списываются с этого общего баланса организации, а не с личных кошельков, поэтому финансы централизованы — одно место для пополнения, одно место для контроля расходов — а не разбросаны по аккаунтам каждого.

Кто что сделал — на записи

Каждое действие организации — выданные и принятые приглашения, вход и выход участников и смена ролей, выдача и отзыв прав, изменения биллинга — пишется в append-only аудит-лог, привязанный к организации, с пользователем и его IP. Для команды это разница между «кто-то изменил доступ» и «этот человек изменил этот доступ в это время».