多账户策略和最佳实践
[AWS Whitepaper] Organizing Your AWS Environment Using Multiple Accounts
可以通过以下工具部署多账号环境:
多账户策略和最佳实践
通常企业会有多个部门,不同的团队开发不同的系统。此外,需要满足安全的基本要求,做好权限的隔离。如果将所有的资源放在一个账户下,随着使用的AWS服务增多,权限最小化,资源隔离将变得越来越复杂。因此,需要明确的安全边界,可以规模化设立安全标准,隔离不同场景的资源,比如生产,测试和安全管理,对于不同团队使用的资源进行成本估算。通过多账户策略可以帮助到企业。
使用多个 AWS 账户来帮助隔离和管理您的业务应用程序和数据,可以帮助您优化 AWS Well-Architected Framework 的大部分支柱,包括卓越运营、安全性、可靠性和成本优化。
AWS accounts
账户中包含云资源和数据,当需要在两个账户之间共享资源和数据时,需要明确允许这种访问,默认是互相隔离的。例如,如果指定不同的账户包含生产和非生产资源和数据,则默认情况下不允许在这些环境之间进行访问。
AWS 不按账户收费。 而是根据所使用的资源收费,与账户数量无关。
AWS account有两种类型,一个叫management account,组织内其余的都叫member account。
管理账户Management Account/Payer Account
管理账户(Management Account)是 AWS 组织中的主要账户。它用于创建 AWS 组织,并负责管理组织的整体架构和策略。管理账户具有特殊权限,可以决定组织中成员账户的访问权限以及资源分配策略。另外,它是唯一能够取消或删除整个组织的账户,因此需要格外谨慎地管理。为了安全起见,建议将管理账户的访问权限限制给指定的管理员并启用多重身份验证(MFA)。
成员账户Member Account/Linked Account
成员账户(Member Account)是在 AWS 组织中由管理账户创建和管理的账户。每个成员账户都可以独立拥有和管理资源,但整体策略和安全设置由管理账户控制。成员账户能够继承管理账户所设定的策略,并可以根据组织需要进行资源分配。这种结构使得各成员账户可以专注于具体任务,同时确保符合整个组织的合规和安全准则。
最佳实践
本文介绍的最佳实践旨在帮助您通过多个账户更轻松地实现安全、管理和操作要求。 这些最佳实践是根据数以千计的客户在采用云计算过程中的经验总结出来的。
每个组织的需求可能不尽相同,但是最佳实践将帮助您在设计环境时做出明智的决定。
最后更新于