COST02-BP03 實作帳戶結構 - AWS Well-Architected 架構
實作指引資源

COST02-BP03 實作帳戶結構

實作與您的組織對應的帳戶結構。這有助於在整個組織中分配和管理成本。

若未建立此最佳實務,暴露的風險等級:

實作指引

AWS 為一父多子的帳戶結構,通常稱為管理帳戶 (父帳戶,先前稱為付款人) 帳戶成員 (子帳戶,先前稱為連結的帳戶)。無論您的組織規模或用量為何,最佳實務一律至少有一個管理帳戶和一個成員帳戶。所有工作負載資源應僅位於成員帳戶內。

對於您應擁有幾個 AWS 帳戶,並沒有適合所有人的答案。評估目前和未來的運作與成本模式,確保 AWS 帳戶的結構呼應組織的總目標。有些公司基於業務原因建立多個 AWS 帳戶,例如:

  • 組織單位、成本中心或特定工作負載之間需要行政管理及/或會計年度和帳單上的區隔。

  • AWS 服務限制是依照特定工作負載區分所設定。

  • 工作負載和資源之間需要區隔和隔離。

AWS Organizations中,合併帳單 建立一或多個成員帳戶與管理帳戶之間的結構。成員帳戶可讓您依群組隔離和區分成本和用量。常見實務是各組織單位分別有成員帳戶 (例如財務、行銷和銷售),或是各個環境生命週期分立 (例如開發、測試和生產),或是各工作負載分立 (工作負載 a、b 和 c),再使用合併帳單彙總這些連結帳戶。

合併帳單可讓您將多個 AWS 帳戶的款項合併至單一管理帳戶之下,同時仍為各連結帳戶的活動提供可見度。由於成本和用量的在管理帳戶中彙總,這可讓您獲得最大的服務容量折扣以及最大的使用承諾折扣 (Savings Plans 和預留執行個體),以享受最高折扣。

AWS Control Tower 可以快速建立和設定多個 AWS 帳戶,確保管控符合組織的要求。

實作步驟

  • 定義分隔要求: 分隔要求是多個因素的組合,包括安全性、可靠性和財務結構。依序處理每個因素,並指定工作負載或工作負載環境是否應與其他工作負載分開。安全性可確保遵守存取和資料要求。可靠性可確保限制受到管理,讓環境和工作負載不會影響其他項目。財務結構可確保有嚴格的財務分隔和責任。常見的分隔範例是生產和測試工作負載會在不同的帳戶開始執行,或使用單獨的帳戶,以便將發票和帳單資料提供給第三方組織。

  • 定義分組要求: 分組要求不會覆寫分隔要求,而是用來協助管理。將不需要分隔的類似環境或工作負載分成同一組。例如,將來自一或多個工作負載的多個測試或開發環境分組在一起。

  • 定義帳戶結構: 使用這些分隔和群組,為每個群組指定一個帳戶,並確保分隔要求得到維護。這些帳戶是您的成員帳戶或連結帳戶。透過將這些成員帳戶分組到單一管理帳戶或付款人帳戶下,您可以結合用量,以讓所有帳戶獲得更多數量折扣,並為所有帳戶提供單一帳單。您可以分隔帳單資料,以便在每個成員帳戶中檢視單獨的帳單資料。如果不允許透過任何其他帳戶查看某個成員帳戶中的用量或帳單資料,或是需要與 AWS 分開的帳單,請定義多個管理帳戶或付款人帳戶。在這種情況下,每個成員帳戶都有自己的管理帳戶或付款人帳戶。資源應一律放在成員或連結帳戶中。管理帳戶或付款人帳戶只能用於管理。

資源

相關文件:

相關範例: