本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
管理成員帳戶
在本節中,邀請先前存在的帳戶加入組織,並開始在組織內建立新帳戶。此過程的一個重要部分是定義條件,用於確定是否需要佈建新帳戶。
邀請先前存在的帳戶
在其中 AWS Organizations,您可以邀請貴公司的預先存在帳戶加入您的新組織。只有組織中的管理帳戶可以邀請其他帳戶加入。當受邀帳戶的管理員接受邀請時,帳戶可立即加入組織,並且組織的管理帳戶將負責新成員帳戶累積的所有費用。如需詳細資訊,請參閱邀請 AWS 帳戶 加入組織和接受或拒絕來自組織的邀請 (AWS Organizations 文件)。
注意
只有當該帳戶目前不在其他組織時,您才可以邀請該帳戶加入組織。如果帳戶是現有組織的成員,必須將其從組織中移除。如果帳戶是錯誤建立的其他組織的管理帳戶,則必須刪除該組織。
重要
如果您需要從預先存在的帳戶存取任何歷史成本或使用資訊,您可以使用 AWS Cost and Usage Report 將該資訊匯出至 Amazon Simple Storage Service (Amazon S3) 儲存貯體。在接受邀請加入組織之前執行此操作。當帳戶加入組織時,您將無法存取該帳戶的此歷史資料。如需詳細資訊,請參閱設定成本和用量報告的 Amazon S3 儲存貯體 (AWS Cost and Usage Report 文件)。
最佳實務
-
建議您將先前存在的帳戶 (它可能包含生產工作負載) 新增至您在 新增組織單位 中建立的工作負載 > 生產組織單位。
-
依預設,組織的管理帳戶沒有對受邀加入組織之成員帳戶的管理存取權。如果您希望管理帳戶擁有管理控制權,則必須在成員帳戶中建立 OrganizationAccountAccessRole IAM 角色,並對管理帳戶授予擔任該角色的許可。如需詳細資訊,請參閱在受邀成員帳戶中建立 OrganizationAccountAccessRole (AWS Organizations 文件)。
-
對於您邀請加入組織的既有帳戶,請檢閱成員帳戶的最佳實務 (AWS Organizations 文件),並確認帳戶遵守這些建議。
在 中自訂 VPC 設定 AWS Control Tower
建議您 AWS 帳戶 透過 中的 Account Factory 佈建新的 AWS Control Tower。透過使用 Account Factory,您可以在帳戶建立 AWS 帳戶 後立即使用與 Amazon EventBridge 的 AWS Control Tower 整合,在新的 中佈建資源。
當您設定新的 時 AWS 帳戶,會自動佈建預設虛擬私有雲端 (VPC)。但是,當您透過 Account Factory 設定新帳戶時, AWS Control Tower 會自動佈建額外的 VPC。如需詳細資訊,請參閱 AWS Control Tower 和 VPCs(AWS Control Tower 文件)。這意味著,預設情況下, AWS Control Tower 會在每個新帳戶中佈建兩個預設 VPC。
公司通常希望對其帳戶中的 VPC 進行更多控制。許多人偏好使用其他 服務 AWS CloudFormation,例如 Hashicorp Terraform 或 Pulumi,來設定和管理其 VPCs。您應該自訂 Account Factory 設定,以防止建立由 AWS Control Tower佈建的其他 VPC。如需說明,請參閱設定 Amazon VPC 設定 (AWS Control Tower 文件),並套用下列設定:
-
停用網際網路可存取的子網路選項。
-
在私有子網路上限中,選擇 0。
-
在 VPC 建立的區域中,清除所有區域。
-
在可用區域中,選擇 3。
最佳實務
-
刪除在每個新帳戶中自動佈建的預設 VPC。這可防止使用者在未明確建立專用 VPC 的情況下,在帳戶中啟動公有 EC2 執行個體。如需詳細資訊,請參閱刪除您的預設子網路和預設 VPC (Amazon Virtual Private Cloud 文件)。您也可以設定 AWS Control Tower Account Factory for Terraform (AFT) 以自動刪除新建立帳戶中的預設 VPC。
-
將 AWS 帳戶 稱為 dev-nonprod 的新 佈建至工作負載 > NonProd 組織單位。在開發環境中使用此帳戶。如需說明,請參閱使用 佈建帳戶工廠帳戶 AWS Service Catalog (AWS Control Tower 文件)。
定義範圍標準
您需要選取貴公司在決定是否佈建新 時將使用的條件 AWS 帳戶。您可以決定為每個業務單位佈建帳戶,或者決定根據環境來佈建帳戶,例如生產、測試或 QA。每家公司都有自己的需求,要求其 AWS 帳戶 大小應該多大。通常,在決定如何調整帳戶大小時,會評估以下三個因素:
-
平衡服務配額 – 服務配額是 AWS 服務 中每個資源、動作和項目數量的最大值 AWS 帳戶。如果許多工作負載共用相同帳戶,而一個工作負載取用了大部分或全部服務配額,則可能會對同一帳戶中的另一個工作負載產生負面影響。如果這樣,則您可能需要將這些工作負載分隔到不同的帳戶中。如需詳細資訊,請參閱 AWS 服務 配額 (AWS 一般參考)。
-
成本報告 – 將工作負載隔離到單獨的帳戶中,可讓您在成本和用量報告中查看帳戶層級的成本。當您將相同帳戶用於多個工作負載時,可以使用標籤來協助您管理和識別資源。如需標記的詳細資訊,請參閱標記 AWS 資源 (AWS 一般參考)。
-
控制存取 – 當工作負載共用帳戶時,需要考慮如何設定 IAM 政策以限制對帳戶資源的存取,以便使用者無法存取不需要的工作負載。作為替代方案,您可以在 IAM Identity Center 中使用多個帳戶和許可集來管理對個別帳戶的存取。
最佳實務
-
遵守AWSAWS Control Tower 登陸區域多帳戶策略的最佳實務 (AWS Control Tower 文件)。
-
建立有效的標記策略,協助您識別和管理 AWS 資源。可使用標籤依照用途、業務單位、環境或其他條件對資源進行分類。如需詳細資訊,請參閱標記的最佳實務 (AWS 一般參考 文件)。
-
不要因過多的工作負載讓帳戶不堪重負。如果工作負載的需求超過服務配額,則可能會造成效能問題。您可以將競爭的工作負載分成不同的工作負載, AWS 帳戶 也可以請求提高服務配額。如需詳細資訊,請參閱請求增加配額 (Service Quotas 文件)。
