使用多个 AWS 账户的好处 - AWS 账户管理
管理多个 AWS 账户

使用多个 AWS 账户的好处

AWS 账户构成了 AWS Cloud 中的基础安全边界。它们作为资源的容器,提供了一个关键的隔离层,这对于创建安全、治理良好的环境至关重要。有关更多信息,请参阅 什么是 AWS 账户?

将资源分成不同的 AWS 账户有助于您在云环境中支持以下原则:

  • 安全控制:不同的应用程序可能具有不同的安全配置文件,这些配置文件需要不同的控制策略和机制。例如,可以更轻松地与审计员交谈,并能够指向单个 AWS 账户,其中托管遵从支付卡行业(PCI)安全标准的所有工作负载元素。

  • 隔离 — AWS 账户 是安全保护的单位。应在不影响其他账户的情况下,遏制 AWS 账户 中的潜在风险和安全威胁。由于采用不同的团队或不同的安全配置文件,可能会带来不同的安全需求。

  • 许多团队:不同的团队有不同的职责和资源需求。可以通过将团队移至单独的 AWS 账户 来防止他们互相干扰。

  • 数据隔离 – 除了隔离团队之外,将数据存储隔离到一个账户中也很重要。这有助于限制可以访问和管理该数据存储的人数。这有助于遏制高度私有数据的披露,因此有助于遵守欧盟的《通用数据保护条例》(GDPR)

  • 业务流程 – 不同的业务单位或产品可能有完全不同的目的和流程。借助多个 AWS 账户,您可以支持业务单位的特定需求。

  • 账单 – 账户是在账单级别分开项目的唯一真正方式。多个账户有助于在账单级别上分开业务单位、职能团队或个人用户的项目。您仍然可以将所有账单合并为单个付款人(使用 AWS Organizations 和整合账单),同时按 AWS 账户 分开行项目。

  • 配额分配 — 分别为每个 AWS 账户 强制执行 AWS 服务配额。将工作负载分成不同的 AWS 账户 可以防止它们相互占用配额。

本文中描述的所有建议和程序均符合 AWS Well-Architected Framework。该框架旨在帮助您设计灵活、有弹性且可扩展的云基础设施。即使您从小规模起步,我们也建议您按照框架中的指导推进。这样做可以帮助您安全地扩展环境,而不会随着企业成长而影响您的持续运营。

管理多个 AWS 账户

在开始添加多个账户之前,您需要制定管理这些账户的计划。为此,我们建议您使用 AWS Organizations(一项免费 AWS 服务)来管理组织中的所有 AWS 账户。

AWS 还提供 AWS Control Tower,该工具为 Organizations 增加多层 AWS 托管自动化,并自动将其与其他 AWS 服务(例如 AWS CloudTrail、AWS Config、Amazon CloudWatch、AWS Service Catalog 等)集成。这些服务可能会产生额外费用。有关更多信息,请参阅AWS Control Tower定价

另请参阅