# SEC01-BP01 使用帳戶區隔工作負載
<a name="sec_securely_operate_multi_accounts"></a>

 透過多帳戶策略在環境 (例如生產、開發和測試) 與工作負載之間建立共通的防護機制和隔離。強烈建議帳戶層級的區隔，因為這在安全性、帳單和存取方面提供了有力的隔離界限。

**預期成果：**一種帳戶結構，可將雲端作業、不相關的工作負載和環境隔離為單獨的帳戶，從而提高整個雲端基礎設施的安全性。

**常見的反模式：**
+  將多個具有不同資料敏感度等級且不相關的工作負載置於相同的帳戶中。
+  定義不良的組織單位 (OU) 結構。

**建立此最佳實務的優勢：**
+  若工作負載遭到意外存取，縮小影響範圍。
+  集中管控對 AWS 服務、資源和區域的存取。
+  利用政策以及集中管理安全服務，維護雲端基礎設施的安全性。
+  自動化帳戶建立和維護流程。
+  集中稽核您的基礎設施以滿足合規性和法規需求。

 **未建立此最佳實務時的風險暴露等級**：高 

## 實作指引
<a name="implementation-guidance"></a>

 AWS 帳戶 在以不同的敏感度等級操作的工作負載或資源之間提供安全隔離界限。AWS 提供工具透過多帳戶策略大規模管理您的雲端工作負載，以利用此隔離界限。如需有關 AWS 中的多帳戶策略的概念、模式和實作指引，請參閱 [Organizing Your AWS Environment Using Multiple Accounts](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html)。

 當您集中管理多個 AWS 帳戶 時，應該將您的帳戶組織成由組織單位 (OU) 層定義的階層。接著可以組織安全控制並套用至 OU 和成員帳戶，在組織內的成員帳戶上建立一致的預防性控制。安全控制是繼承的，讓您能夠篩選位於 OU 階層較低層級的成員帳戶可用的許可。良好的設計可利用此繼承關係來降低必要的安全政策數目和複雜度，達成每個成員帳戶預期的安全控制。

 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) 和 [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 是可以用來在 AWS 環境中實作和管理此多帳戶結構的兩個服務。AWS Organizations 可讓您將帳戶組織到由一個或多個 OU 層定義的階層中，每個 OU 都包含許多成員帳戶。[服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCP) 可讓組織管理員在成員帳戶上建立精細的預防性控制，並且 [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html) 可用於在成員帳戶上建立主動性和偵測性控制。許多 AWS 服務[與 AWS Organizations 整合](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html)，以提供委派的管理控制，並在組織的所有成員帳戶中執行服務特定任務。

 [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 位於 AWS Organizations 之上，為具有[登陸區域](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html)的多帳戶 AWS 環境提供一鍵式最佳實務設定。該登陸區域是通往由 Control Tower 所建立之多帳戶環境的進入點。與 AWS Organizations 相比，Control Tower 具有數個[好處](https://aws.amazon.com/blogs/architecture/fast-and-secure-account-governance-with-customizations-for-aws-control-tower/)。提供改進的帳戶管控的三個優點是：
+  整合式強制性安全控制，會自動套用至獲准加入組織的帳戶。
+  選擇性控制，可針對指定 OU 集合開啟或關閉。
+  [AWS Control Tower Account Factory](https://docs.aws.amazon.com/controltower/latest/userguide/account-factory.html) 提供自動化帳戶部署，其中包含組織內部預先核准的基準和組態選項。

 **實作步驟** 

1.  **設計組織單位結構：**設計合理的組織單位結構可減少建立及維護服務控制政策及其他安全性控制所需的管理負擔。您的組織單位結構應[與業務需求、資料敏感度和工作負載結構保持一致](https://aws.amazon.com/blogs/mt/best-practices-for-organizational-units-with-aws-organizations/)。

1.  **為多帳戶環境建立登陸區域：**登陸區域可提供一致的安全性和基礎設施基礎，您的組織可以從中快速開發、啟動和部署工作負載。可以使用[自訂建置的登陸區域或 AWS Control Tower](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-aws-environment/building-landing-zones.html) 來協調您的環境。

1.  **建立防護機制：**透過登陸區域為您的環境實作一致的安全防護機制。AWS Control Tower 提供可部署的[強制性](https://docs.aws.amazon.com/controltower/latest/userguide/mandatory-controls.html)控制與[選擇性](https://docs.aws.amazon.com/controltower/latest/userguide/optional-controls.html)控制清單。實作 Control Tower 時會自動部署強制性控制。審核強烈建議的控制和選擇性控制清單，並實作符合您需求的控制。

1.  **限制對新增區域的存取**：對於新 AWS 區域，IAM 資源 (例如使用者和角色) 只會傳播到您指定的區域。可以在[使用 Control Tower 時透過主控台](https://docs.aws.amazon.com/controltower/latest/userguide/region-deny.html)執行此動作，或[在 AWS Organizations 中調整 IAM 權限政策](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/)。

1.  **考慮 AWS [CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)**：StackSets 可協助您將資源 (包括 IAM 政策、角色和群組) 從核准的範本中部署到不同的 AWS 帳戶 帳戶和區域。

## 資源
<a name="resources"></a>

**相關的最佳實務：**
+ [SEC02-BP04 仰賴集中式身分提供者](sec_identities_identity_provider.md)

**相關文件：**
+  [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 
+  [《AWS 安全性稽核指南》](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) 
+  [IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [使用 CloudFormation StackSets 在多個 AWS 帳戶 和區域中佈建資源](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/) 
+  [Organizations 常見問答集](https://aws.amazon.com/organizations/faqs/) 
+  [AWS Organizations 術語與概念](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) 
+  [AWS Organizations 多帳戶環境中服務控制政策的最佳實務](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/) 
+  [AWS 帳戶管理參考指南](https://docs.aws.amazon.com/accounts/latest/reference/accounts-welcome.html) 
+  [使用多個帳戶組織您的 AWS 環境](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html) 

**相關影片：**
+  [透過自動化和管控大規模採用 AWS](https://youtu.be/GUMSgdB-l6s) 
+  [以 Well-Architected 方式提供安全最佳實務](https://youtu.be/u6BCVkXkPnM) 
+  [使用 AWS Control Tower 建置和管控多個帳戶](https://www.youtube.com/watch?v=agpyuvRv5oo) 
+  [為現有組織啟用 Control Tower](https://www.youtube.com/watch?v=CwRy0t8nfgM)