Infrastructure OU
最后更新于
最后更新于
基础设施OU由基础架构和运维团队拥有并管理。基础设施 OU 用于保存包含 AWS 基础设施资源的 AWS 账户,这些资源由组织内的账户共享、使用或用于管理。 这包括对组织的集中操作或监控。 该 OU 中不包含应用程序账户或应用程序工作负载。
备份帐户是备份和灾难恢复管理的专用集中枢纽。 它提供了一个统一的平台,用于在 AWS 组织内协调、监控和执行跨 AWS 账户的备份策略。
通过将备份流程整合到一个中央账户中,企业可以获得多种好处。 它无需在每个成员帐户中分别配置和维护备份设置,从而简化了备份管理,提高了运营效率并降低了出错的可能性。 它可确保在整个 AWS 基础架构中提供一致而全面的数据保护,无论使用的是何种特定 AWS 服务和资源。 这种方法还能对备份和恢复活动进行集中审计和报告,从而加强合规性和治理工作,使跟踪数据保护指标和维护合规性所需的记录变得更加容易。
使用到的服务:
AWS Backup:在 AWS 备份控制台中将Backup Account注册为委派管理员。
AWS Organizations: AWS Backup policy administration:通过在管理帐户中启用 AWS 组织授权,将 AWS 备份策略管理授权给Backup Account,并配置允许Backup Account创建备份策略。
身份账户是一个集中的身份联合账户,与 AWS 组织内的所有其他管理和工作负载活动隔离。 联合身份管理使您能够高效地管理 AWS 组织内账户的访问权限和对集成应用程序的授权。 通过集中管理身份和控制对环境的访问,您可以快速创建、更新和删除满足业务要求所需的权限和策略。
使用的服务:
IAM Identity Center:您可以委托该账户管理 IAM Identity Center,这样您就可以在管理账户之外管理 IAM Identity Center。
IAM Access Analyzer:可以对 IAM 访问分析器进行配置,以检测组织(组织信任区)之外共享的资源。 默认情况下,这是由管理账户管理的。 可以委托给成员账户。 根据负责审核外部访问的人员(身份管理团队或安全团队)的不同,可将此功能委托给身份管理账户或安全工具账户。
AWS Directory Services:如果您使用的是 AWS 托管目录或 AWS AD 连接器,您可以在 AWS IAM Identity Center 的同时在您的身份账户中创建和管理它们。
网络账户是 AWS 组织内的网络中心。 您可以管理您的网络资源,并在您的环境、内部部署和出口/出口流量到互联网的账户之间路由流量。 在此账户中,网络管理员可以管理和建立安全措施,保护整个云环境的网络流量。
AWS Network Manger:在企业内的多个 AWS 账户中,使用中转网关及其附属资源集中管理和监控全球网络。
IPAM:授权给整个 AWS 组织的单一账户。 IPAM 将清查和跟踪整个 AWS 组织的所有活动 IP。
VPC Reachability Analyzer:追踪组织内各账户的路径。 您可以根据需要分配多个授权管理账户。
Amazon VPC:如果您计划在 AWS 环境中实施集中式联网,我们建议您在网络账户内管理 VPC,并在 AWS 组织内跨账户共享资源。
共享你的 AWS Transit Gateway:在网络账户中创建 AWS Transit Gateway 资源,并使用 AWS Resource Access Manager (RAM) 在 AWS 组织内的账户间共享该资源。
共享你的Amazon Route 53 Endpoint Resolvers - 如果你计划在您的 AWS 组织中使用一个集中的 Amazon Route 53 Public Data Plane 创建传递式网络,我们推荐管理和分享你的Route 53 Endpoint Resolvers。
在你的组织中共享你的 IPAM pools - 当你授权一个IPAM 账户,IPAM 允许其他组织中的成员账户从IPAM pools分配CIDRs,通过AWS Resource Access Manager (RAM) 共享。
构建集中的 AWS Site-to-Site VPN connections - 通过使用集中在您的 Network 帐户中的传递性网络架构,可以建立站点到站点的 VPN,并在云环境中启用路由。
集中的 AWS Direct Connect - 创建并添加 AWS Direct Connect 到你的传递性网络架构 with AWS Transit Gateway.
集中式网络检测点 - 建立通过网络账户路由的入站和出站网络流量检测点。
运维工具账户可用于整个组织的日常运营活动。运维工具账户托管集中运营所需的工具、仪表盘和服务,其中托管监控和指标跟踪。 这些工具有助于中央运行团队从中央位置与其环境进行交互。
AWS Account Management:管理组织内所有账户的备用联系人信息。 在 AWS 组织内的一个区域和一个账户上进行授权。
AWS Application Migration Service (AMG):AWS 应用程序迁移服务简化、加快并降低了将应用程序迁移到 AWS 的成本。 通过与 "组织 "集成,您可以使用全局视图功能管理跨多个账户的大规模迁移。
Amazon DevOps Guru:您可以与 AWS 组织集成,以管理来自整个组织所有账户的洞察力。 您可以委派一名管理员查看、排序和过滤来自所有账户的洞察,以了解整个组织内所有受监控应用的健康状况。
AWS Health:了解可能影响 AWS 服务资源性能或可用性问题的事件。 您最多可以在组织中注册 5 个成员账户作为受权管理员。
AWS License Manager:如果您计划使用集中模式在组织内购买和共享许可证,我们建议您指定一个共享服务账户作为 AWS License Manager 的受权管理员。
AWS Systems Manager Change Manager:您可以将 Systems Manager 的管理委托给 Operations Tooling 帐户,以便执行 Change Manager、资源管理器和 Ops Center 的管理任务。
AWS CloudFormation Stacksets:您可以在 AWS 组织中注册多个委托管理员帐户。 CloudFormation Stackset 委托将赋予 AWS 账户完全的管理权限,以便在组织中的其他 AWS 账户中部署资源。 授权只需在本地区进行。
VPC Reachability Analyzer:跟踪组织中跨账户的路径。 VPC 可及性分析仪可拥有多个授权管理账户。
AWS Solutions
Account Assessment for AWS Organizations:该 AWS 解决方案以 Web UI 的形式呈现,可对 AWS 组织中的所有 AWS 账户运行可配置的扫描,帮助您识别基于资源的底层策略中的依赖性。
Instance Scheduler on AWS:自动启动和停止亚马逊弹性计算云(Amazon EC2)和亚马逊关系数据库服务(Amazon RDS)实例。该解决方案可停止不使用的资源,并在需要时启动它们,从而帮助降低运营成本。 如果让所有实例持续满负荷运行,则可节省大量成本。
Cost Optimizer for Amazon WorkSpaces:分析您的所有 Amazon WorkSpaces 使用数据,并根据您的个人使用情况,自动将 WorkSpace 转换为最具成本效益的计费选项(按小时或按月计费)。 您可以将此解决方案用于单个账户,也可以将 AWS 组织用于多个账户,以帮助您监控 WorkSpace 的使用情况并优化成本。
Workload Discovery on AWS:AWS 上的 Workload Discovery(以前称为 Amazon Personalize)是一种可视化 AWS 云工作负载的工具。 使用 Workload Discovery on AWS 可以根据 AWS .NET 的实时数据构建、自定义和共享工作负载的详细架构图。
AWS 监控帐户可用于监控其他 AWS 帐户中的资源、应用程序、日志数据和性能。 AWS 提供了许多工具和服务,可用于管理和监控 AWS 账户中的资源和工作负载,包括 CloudWatch、Amazon Managed Service for Prometheus、Amazon Managed Grafana 和 Amazon OpenSearch。 这些工具可用于监控资源和应用程序的使用情况、性能、查看日志数据以及识别基础设施或应用程序中的潜在问题。
Amazon S3 Storage Lens:将监控帐户注册为 Amazon S3 Storage Lens(在管理帐户中)的授权管理员,以便在整个组织范围内查看对象存储的使用情况和活动。 您可以使用 S3 Storage Lens 指标生成摘要洞察,例如了解整个组织的存储量或增长最快的存储桶和前缀。
AWS CloudWatch - 配置 AWS CloudWatch Cross Account observability 并且配置成"monitoring account" or hub account.
CloudWatch dashboards 创建成账户级别可以被共享给监控账户,允许分布式的集中监控管理。
3rd party monitoring tools (such as ElasticSearch, Splunk, Prometheus, Grafana) 在 Monitoring account 创建和管理。
日志存档日志分析。 为了分析日志存档账户中存储的日志数据,可以在监控账户中使用 Amazon Managed Grafana 或 Amazon QuickSight,通过连接日志存档账户中的 Amazon Athena 来分析日志存档账户中 S3 桶中的日志数据。
Amazon OpenSearch Service 用于分析日志,监控应用,分析点击流。
Amazon QuickSight 跨账户数据源可以被击中监控和报告。
Amazon Managed Grafana 集中监控容器, CloudWatch logs, 和应用,通过手机不通账户的数据,或者集中 CloudWatch 指标,日志和跟踪。
AWS Solutions
The following AWS solutions are commonly deployed or related to the functional operations of the Monitoring account:
共享服务账户是一个 AWS 账户,专门用于托管和管理 AWS 组织内多个其他 AWS 账户共享的集中 IT 服务和资源。 共享服务账户的主要目的是整合类似的共享服务,以提供单一的访问点来管理、连接和使用。 您可以根据需要创建多个共享服务账户,以安全隔离账户中分组服务的功能。
AWS Service Catalog:创建并管理经批准可在 AWS 上使用的 IT 服务目录。
AWS Compute Optimizer:AWS Compute Optimizer 可委托给 AWS 组织中的一个 AWS 账户。 建议部署到共享服务账户或监控账户。
EC2 Image Builder :EC2 Image Builder 与 AWS Resource Access Manager(AWS RAM)集成,允许您与任何 AWS 账户或通过 AWS 组织共享某些资源。
参考资料
