什么是 Amazon Web Services 账户?
Amazon Web Services 账户 代表您与 Amazon 建立的正式业务关系。您可以在 Amazon Web Services 账户中创建和管理 Amazon 资源,您的账户为访问和计费提供身份管理功能。每个 Amazon Web Services 账户都有唯一的 ID,用于将其与其他 Amazon Web Services 账户区分开来。
您的云资源和数据包含在 Amazon Web Services 账户中。账户充当身份和访问管理的隔离边界。当需要在两个账户之间共享资源和数据时,必须明确允许这种访问权限。默认不允许在账户之间进行访问。例如,如果指定不同的账户来存放生产和非生产资源和数据,则默认不允许在这些环境之间进行访问。
Amazon Web Services 账户也是访问 Amazon 服务的基本组成部分。如下图所示,Amazon Web Services 账户提供以下两大功能:
-
资源容器 — Amazon Web Services 账户是您作为 Amazon 客户可以创建的所有 Amazon 资源的基本容器。例如,Amazon Simple Storage Service(Amazon S3)存储桶、Amazon Relational Database Service(Amazon RDS)数据库和 Amazon Elastic Compute Cloud(Amazon EC2)实例都是资源。每个资源均由一个 Amazon 资源名称(ARN)进行唯一标识,该 ARN 包含或拥有该资源的账户 ID。
-
安全边界 - Amazon Web Services 账户也是 Amazon 资源的基本安全边界。您在账户中创建的资源可供拥有账户凭证的用户使用。您可以在账户中创建的关键资源包括身份,例如用户和角色。这些身份具有用户可以用来登录 Amazon(进行身份验证)的凭证。身份还拥有指定用户可以使用账户中的资源执行(授权)哪些操作的权限策略。
使用多个 Amazon Web Services 账户是扩展环境的最佳做法,因为这可以为成本提供自然的计费边界,隔离资源确保安全,为个人和团队提供灵活性,此外还能适应新的业务流程。有关更多信息,请参阅 使用多个 Amazon Web Services 账户的好处。
Amazon Web Services 账户功能
Amazon Web Services 账户包含以下核心功能:
-
监控和控制成本 - 账户是分配 Amazon 成本的默认方式。因此,针对不同的业务部门和工作负载组使用不同的账户有助于您更轻松地跟踪、控制、预测、编制预算和报告云支出。如果您选择在某个时候使用 Amazon Organizations,除了账户级的成本报告外,Amazon 还内置支持整合和报告您整个账户集的成本。您还可以使用 Amazon 服务配额来帮助防止意外的过度配置 Amazon 资源和恶意行为,这些可能会严重影响您的 Amazon 成本。
-
隔离单元 - Amazon Web Services 账户为您的 Amazon 资源提供安全性、访问权限和计费边界,有助于您实现资源自主权和隔离。根据设计,一个账户中配置的所有资源与其他账户配置的资源实现逻辑隔离,即使是在您自己的 Amazon 环境中。该隔离边界提供了一种限制应用程序相关问题、配置错误或恶意操作风险的方法。如果一个账户中出现问题,可以减轻或消除对其他账户中所含工作负载的影响。
-
镜像业务工作负载 - 使用多个账户将具有共同业务目的工作负载分组到不同账户中。因此,您可以使所有权和决策与这些账户保持一致,避免相互依赖以及与其他账户中工作负载的保护和管理方式发生冲突。根据整体业务模式,您可以选择在不同的账户中隔离不同的业务单位或子公司。随着时间的推移,这种方法还可以减轻剥离这些部门的难度。
您是 Amazon 新用户吗?
如果您是首次使用 Amazon 的用户,第一步是注册 Amazon Web Services 账户。注册时,Amazon 使用您提供的详细信息创建一个账户,并将此账户分配给您。创建 Amazon Web Services 账户后,请以根用户身份登录,为根用户激活多重身份验证(MFA),然后为用户分配管理权限。
有关如何设置新账户的分步说明,请参阅Amazon Web Services 账户 入门。