Multiple Accounts 多账号管理

概述

AWS Landing Zone是一个创新的解决方案,它通过提供预定义的最佳实践和自动化工具,帮助企业快速、安全地构建一个多账号、多区域的云基础设施环境。这个环境不仅加速了企业的上云过程,还提高了云资源的可控性和安全性,支持业务的快速扩展和灵活调整,同时显著降低了管理成本。Landing Zone遵循AWS Well-Architected框架,确保了云环境的合规性、可用性和性能,满足严格的行业标准,如PCI DSS和GDPR。它还促进了自动化和供应,优化了成本管理,并提供了账户隔离与资源共享的平衡,为企业的数字化转型提供了强大的支持,确保了云环境的高效运营和治理。 通常企业会有多个部门,不同的团队开发不同的系统。此外,需要满足安全的基本要求,做好权限的隔离。如果将所有的资源放在一个账户下,随着使用的AWS服务增多,权限最小化,资源隔离将变得越来越复杂。因此,需要明确的安全边界,可以规模化设立安全标准,隔离不同场景的资源,比如生产,测试和安全管理,对于不同团队使用的资源进行成本估算。通过多账户策略可以帮助企业隔离和管理您的业务应用程序和数据,可以帮助您优化 AWS Well-Architected Framework 的大部分支柱,包括卓越运营、安全性、可靠性和成本优化。

AWS accounts

账户中包含云资源和数据,当需要在两个账户之间共享资源和数据时,需要明确允许这种访问,默认是互相隔离的。例如,如果指定不同的账户包含生产和非生产资源和数据,则默认情况下不允许在这些环境之间进行访问。 AWS 不按账户收费。 而是根据所使用的资源收费,与账户数量无关。 AWS account有两种类型,一个叫management account,组织内其余的账户都叫member account。

管理账户Management Account/Payer Account

管理账户(Management Account)是 AWS 组织中的主要账户。它用于创建 AWS 组织,并负责管理组织的整体架构和策略。管理账户具有特殊权限,可以决定组织中成员账户的访问权限以及资源分配策略。另外,它是唯一能够取消或删除整个组织的账户,因此需要格外谨慎地管理。为了安全起见,建议将管理账户的访问权限限制给指定的管理员并启用多重身份验证(MFA)。

成员账户Member Account/Linked Account

成员账户(Member Account)是在 AWS 组织中由管理账户创建和管理的账户。每个成员账户都可以独立拥有和管理资源,但整体策略和安全设置由管理账户控制。成员账户能够继承管理账户所设定的策略,并可以根据组织需要进行资源分配。这种结构使得各成员账户可以专注于具体任务,同时确保符合整个组织的合规和安全准则。

最佳实践

本文介绍的最佳实践旨在帮助您通过多个账户更轻松地实现安全、管理和操作要求。 这些最佳实践是根据数以千计的客户在采用云计算过程中的经验总结出来的。 每个组织的需求可能不尽相同,但是最佳实践将帮助您在设计环境时做出明智的决定。

Landing Zone设计原则

在构建AWS云环境时,遵循这些核心原则可以确保安全性、合规性和操作效率: 基于安全和运维需求设计 Organize based on security and operational needs

  • 设计AWS账户和组织结构时,应考虑安全要求和运维便利性,以确保资源得到适当的隔离和保护,同时便于管理和监控。这种设计有助于满足合规性要求,并提高运营效率。所以至少保留安全工具账户,日志审计账户,网络统一管理账户,备份统一管理账户等。

将安全护栏应用于 OU 而非账户 Apply security guardrails to OUs rather than accounts

  • 通过在组织单元(OU)级别而非单个账户级别应用安全控制策略,可以更有效地管理和继承安全策略,减少重复配置,并确保整个组织的安全一致性。

避免过深的 OU 层次结构 Avoid deep OU hierarchies

  • 过于复杂的OU层次结构可能会增加管理难度和复杂性,因此建议保持OU结构的扁平化,以便于理解和维护。这有助于简化权限管理和策略应用。

小规模起步,根据需要扩展 Start small and expand as needed

  • 初始阶段,可以建立一个小型的、基础的云环境,然后根据业务需求和增长逐步扩展和完善。这种方法可以降低初期的复杂性和成本,同时允许灵活调整以适应变化。

避免将工作负载部署到组织的管理账户上 Avoid deploying workloads to the organization’s management account

  • 管理账户应专注于治理和策略管理,而不是运行工作负载,以保持职责分离和减少安全风险。这有助于确保管理账户的安全性和专注于核心管理任务。

生产和非生产环境分开 Separate production from non-production workloads

  • 生产环境和非生产环境(如开发、测试)应分别部署在不同的账户或OU中,以确保生产环境的稳定性和安全性,同时允许非生产环境进行实验和开发而不影响生产系统。

为每个生产账户分配一个或一小组相关工作负载 Assign a single or small set of related workloads to each production account

  • 将相关工作负载比如AWS EC2,Amazon S3分组到同一个生产账户中,可以简化管理和监控,同时减少跨账户的依赖和复杂性。这有助于提高账户的专注性和效率。

使用单点登录简化人员访问多个账户的需要 Use federated access to help simplify managing human access to accounts

  • 通过使用AWS IAM Identity Center 联合身份验证(如SAML),用户可以使用单一身份访问多个AWS账户,从而简化身份管理和访问控制。这减少了管理多个凭证的复杂性,并提高了安全性。

利用自动化实现灵活性和规模化 Use automation to support agility and scale

  • 自动化部署和管理任务可以提高敏捷性,允许快速响应业务需求变化,并支持大规模操作,同时减少人为错误。自动化是云环境中提高效率和一致性的关键。

使用MFA Use multi-factor authentication

  • 启用多因素认证(MFA)可以增加账户安全性,要求用户提供额外的身份验证形式,从而防止未经授权的访问,即使密码被泄露也能保护账户安全。

打破玻璃访问 Break glass access

  • 在紧急情况下,如安全事件或系统故障,需要一种快速访问系统的方法来恢复服务或进行修复。打破玻璃访问提供了一种在正常访问控制被禁用时的应急访问机制,以确保业务连续性。

推荐使用的OU和账户

在 AWS 环境中,推荐使用的 OU 和账户可以帮助简化管理、提升安全性和确保合规性。基础 OU 如 Security OU和 Infrastructure OU 是必不可少的,因为它们提供了整体安全和基础架构支持。为了更好地隔离不同类型的工作负载,建议使用 Workloads OU,而 Policy Staging OU 有助于测试策略的影响。此外,Sandbox OU 提供灵活的环境,便于开发者尝试和探索新的服务。通过合理配置和使用这些 OU,企业能够更有效地管理 AWS 资源和提升运营效率。

安全OU

安全OU是一个必选的基础OU,是安全解决方案中常见使用到的一类组织,推荐创建2个账户:

  • Log Archive 日志归档

日志存档账户是所有账户日志的单一集中点,主要由安全,运营,审计和合规团队访问使用。该账户包含每个账户的审计、配置合规性和操作日志副本的集中存储位置。 它还提供了其他审计/合规日志以及应用程序/操作系统日志的存储位置。我们建议您将操作日志数据合并到日志存档账户中。 根据具体的安全和管理要求,您可能需要过滤保存到此账户中的运行日志数据。 您可能还需要指定谁和什么可以访问日志存档账户中的运行日志数据。

  • Security Tooling (Audit) 安全工具(审计)

在 AWS 服务中,该账户用于提供对 AWS 安全工具和控制台的集中授权管理访问,以及为调查目的提供对组织内所有账户的只读访问。 安全工具账户应仅限于经授权的安全和合规人员及相关安全人员使用。 此账户是 AWS 安全服务的聚合点,包括AWS Security Hub, Amazon GuardDuty,Amazon Macie, AWS AppConfig, AWS Firewall Manager, Amazon Detective, Amazon Inspector, 和 IAM Access Analyzer.

基础设施OU

基础设施OU由基础架构和运维团队拥有并管理。基础设施 OU 用于保存包含 AWS 基础设施资源的 AWS 账户,这些资源由组织内的账户共享、使用或用于管理。 这包括对组织的集中操作或监控。 该 OU 中不包含应用程序账户或应用程序工作负载。

  • Backup account 备份账户

备份帐户是备份和灾难恢复管理的专用集中枢纽。 它提供了一个统一的平台,用于在 AWS 组织内协调、监控和执行跨 AWS 账户的备份策略。

通过将备份流程整合到一个中央账户中,企业可以获得多种好处。 它无需在每个成员帐户中分别配置和维护备份设置,从而简化了备份管理,提高了运营效率并降低了出错的可能性。 它可确保在整个 AWS 基础架构中提供一致而全面的数据保护,无论使用的是何种特定 AWS 服务和资源。 这种方法还能对备份和恢复活动进行集中审计和报告,从而加强合规性和治理工作,使跟踪数据保护指标和维护合规性所需的记录变得更加容易。

  • Identity account 身份账户

身份账户是一个集中的身份联合账户,与 AWS 组织内的所有其他管理和工作负载活动隔离。 联合身份管理使您能够高效地管理 AWS 组织内账户的访问权限和对集成应用程序的授权。 通过集中管理身份和控制对环境的访问,您可以快速创建、更新和删除满足业务要求所需的权限和策略。

  • Network account 网络账户

网络账户是 AWS 组织内的网络中心。 您可以管理您的网络资源,并在您的环境、内部部署和出口/出口流量到互联网的账户之间路由流量。 在此账户中,网络管理员可以管理和建立安全措施,保护整个云环境的网络流量。通过使用集中在您的 Network 帐户中的传递性网络架构,可以建立站点到站点的 VPN,并在云环境中启用路由。

  • Operations Tooling account 运维工具账户

运维工具账户可用于整个组织的日常运营活动。运维工具账户托管集中运营所需的工具、仪表盘和服务,其中托管监控和指标跟踪。 这些工具有助于中台团队从中央位置与其环境进行交互。包括AWS Account Management,AWS Application Migration Service (AMG),Amazon DevOps Guru,AWS Health,AWS License Manager,AWS Systems Manager,AWS CloudFormation Stacksets,VPC Reachability Analyzer。

  • Monitoring account 监控账户

AWS 监控帐户可用于监控其他 AWS 帐户中的资源、应用程序、日志数据和性能。 AWS 提供了许多工具和服务,可用于管理和监控 AWS 账户中的资源和工作负载,包括 CloudWatch、Amazon Managed Service for Prometheus、Amazon Managed Grafana 和 Amazon OpenSearch。 这些工具可用于监控资源和应用程序的使用情况、性能、查看日志数据以及识别基础设施或应用程序中的潜在问题。为了简化管理监控账户和运维工具账户可以整合成一个账户。

工作负载OU

工作负载 OU 用于容纳大多数特定于业务的工作负载,包括生产和非生产环境。 这些工作负载可以是现成的商用应用程序与内部开发的定制应用程序和数据服务的组合。

  • Prod 生产账户

将生产工作负载环境和数据隔离在位于生产 OU 内的生产账户中。

  • Non-Prod 非生产账户

除生产 OU 外,我们建议您定义一个或多个非生产 OU,其中包含用于开发和测试工作负载的账户和工作负载环境。

实施多账户管理的工具/解决方案

如果想要实现企业自己的多账户环境,有两个常见的选择,一种是使用云原生的免费托管服务:AWS Control Tower。另外是选择购买Proserve的专业实施服务Cloud Foundation。

AWS Control Tower

AWS Control Tower 基于与数千家企业合作建立的最佳实践,提供了建立和管理安全、合规和多账户 AWS 环境的最简单方法。企业可以利用内置的预防性、主动性和侦测性控制措施作为起点,以解决 AWS 共同责任模式中的客户部分问题。Control Tower 为治理和审计目的设置并执行了几个关键组件:

  • AWS Organizations: 帮助你统一管理多账户

  • Service Control Policies (SCPs): 组织/账户级别生效的控制策略,可以构建数据防护边界。

  • Controls: 帮助在所有账户中执行策略和最佳实践;

  • Audit Logging: 聚合审计日志以及管理保存周期;

  • AWS Organizations Audit Trail: 记录账户的创建和删除以及 SCP 的更改;

  • Account Factory: 确保新账户创建后遵循你预先定义的策略和配置。

  • Integration with AWS Security Hub: 集中查看多账户中的安全告警和合规检查。

  • AWS Identity Center: 预置好组和权限集,方便分配权限。

注意,AWS Control Tower在中国区未上线,仅支持在海外区使用。

Cloud Foundation

2022年6月30日,亚马逊云科技大中华区专业服务团队 (Professional Services, ProServe) 正式发布了“Cloud Foundations 服务快速启动包”解决方案。企业用户在上云的初期,就可以随着 IT 基础设施建设一起,同步准备好一个高起点的云上运维环境,包括基础设施自动化部署、集中日志存储和分析、自动化备份、安全基线等。此方案中国区与海外区均支持,分为简化版与标准版,具体可以联系销售详细了解。

Landing Zone Accelerator on AWS

AWS 上的 Landing Zone Accelerator 解决方案部署了一套基础功能,旨在与 AWS 最佳实践和多个全球合规性框架保持一致。 有了这个 AWS 解决方案,您就可以更好地管理和治理具有高度监管工作负载和复杂合规性要求的多账户环境。 当与其他 AWS 服务协调使用时,它可提供一个横跨超过 35 个 AWS 服务的全面、低代码解决方案。

白皮书

https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html

客户案例

https://aws.amazon.com/solutions/case-studies/clearwater-analytics-case-study https://aws.amazon.com/solutions/case-studies/sixth-street-case-study/

上一页AWS Jam下一页使用AWS Control Tower管理多账户

最后更新于