COST02-BP03 实施账户结构
实施与您的组织对应的账户结构。这有助于在整个组织内分摊和管理成本。
未建立这种最佳实践的情况下暴露的风险等级: 高
实施指导
AWS 拥有一个父级对多个子级的账户结构,通常称为管理账户(父级,之前称为付款人)账户-成员(子级,之前称为关联)账户。最佳实践是,无论组织规模或使用情况如何,始终至少有一个管理账户和一个成员账户。所有工作负载资源应仅驻留在成员账户内。
对于您应该拥有多少 AWS 账户这一问题,没有标准答案。评估当前和未来的运营和成本模型,以确保您的 AWS 账户结构反映了组织的目标。有些公司出于业务原因会创建多个 AWS 账户,例如:
需要在组织部门、成本中心或特定工作负载之间实施管理和/或财务和计费隔离。
AWS Service Limits 设置为特定于特殊工作负载。
工作负载和资源之间必须进行隔离和分离。
在 AWS Organizations
通过整合账单,您可以将多个成员 AWS 账户的付款整合至一个管理账户下,同时仍可查看每个关联账户的活动。由于成本和使用量在管理账户中汇总,因此,您可以最大限度地提高服务量折扣,并最大限度地利用承诺折扣(Savings Plans 和预留实例)来获得最高折扣。
AWS Control Tower
实施步骤
-
定义分离要求: 分离要求涉及多项因素,包括安全性、可靠性和财务结构。按顺序阐明每项因素,并详细说明工作负载或工作负载环境是否应与其他工作负载分开。安全性可确保遵守访问和数据要求。可靠性可确保对限制进行管理,以便环境和工作负载不会影响其他项。财务结构可确保严格实施财务分离和问责制。常见分离示例有生产和测试工作负载在不同的账户中运行,或者使用单独的账户以便可以将发票和账单数据提供给第三方组织。
-
定义分组要求: 分组要求并不覆盖分离要求,而是用于协助管理。将无需分离的类似环境或工作负载分组在一起。例如,将一个或多个工作负载的多个测试或开发环境分组在一起。
-
定义账户结构: 使用这些分离和分组,为每个组指定一个账户,并确保持续满足分离要求。这些账户有成员账户或关联账户。通过将这些成员账户分组到一个管理账户或付款人账户下,可以合并使用量,从而可以跨所有账户享有更大的批量折扣,并为所有账户提供一个账单。可以分离账单数据,并为每个成员账户提供其账单数据的单独视图。如果成员账户不能让任何其他账户看到自己的使用情况或账单数据,或者,如果需要 AWS 提供单独的账单,请定义多个管理账户或付款人账户。在这种情况下,每个成员账户都有自己的管理账户或付款人账户。资源应始终放置在成员账户或关联账户中。管理账户或付款人账户应只用于管理。
资源
相关文档:
相关示例:
