什么是登录区?
登录区是一个架构完善、可扩展且安全的多账户 AWS 环境。这是一个起点,您的组织可以从这里放心地在安全和基础设施环境中快速启动和部署工作负载和应用程序。建立登录区需要根据贵组织的发展和未来业务目标,在账户结构、网络、安全和访问管理方面做出技术和业务决策。
当您开始大规模使用 AWS 时,您可以自 AWS 获得规范指引和建立环境的方法。AWS 该领域的最佳实践围绕着需要将资源和工作负载隔离到多个 AWS 账户(资源容器)中,以实现隔离和减少影响范围。下一节将解释为什么要使用多个帐户。
多账户框架
虽然没有规定您应该拥有多少个 AWS 账户,但我们建议您创建多个 AWS 账户。多个账户提供最高级别的资源和安全隔离。如果您对以下任一问题的回答为“是”,可以考虑创建其他 AWS 账户:
-
您的企业是否需要在工作负载之间进行管理隔离?
-
您的企业是否需要有限的工作负载的可见性和可发现性?
-
您的企业是否需要隔离以最大限度地减少影响范围?
-
您的企业是否需要对恢复或审计数据进行严格隔离?
以下是单个账户可能不够用的其他原因:
-
安全控制 – 不同的应用程序可能具有不同的安全配置文件,这些配置文件需要不同的控制策略和机制。例如,在与审计员沟通时,只需指向托管支付卡行业(PCI)工作负载的单个账户即可。
-
隔离:账户是安全保护的单位。潜在风险与安全威胁应限制在单个账户内,避免影响其他账户。可能存在不同的安全需求,要求您将一个账户与另一个账户隔离,这可能是由于存在多个团队或不同的安全配置文件所致。
-
数据隔离 – 将数据存储隔离到一个帐户限制了可以访问和管理该数据存储的人数。这样就不会暴露高度私密的数据,有助于遵守《一般数据保护条例》(GDPR)。
-
许多团队 – 不同的团队有不同的职责和资源需求。他们不应在同一账户中互相干扰。
-
业务流程:不同的业务单位或产品可能有完全不同的目的和流程。您应该建立不同的账户来满足业务的特定需求。
-
账单 – 账户是在账单层面上区分项目的唯一真正方法,包括转账费用之类的费用。多个账户有助于在账单层面上对业务部门、职能团队或个人用户进行项目区分。
-
限额分配:限额按账户计算。将工作负载分成不同的帐户可以防止它们消耗限制或可能过度配置资源,从而阻止其他应用程序按预期运行。
