使用多个 Amazon Web Services 账户 的好处
Amazon Web Services 账户 构成了 Amazon Web Services 云 中的基础安全边界。它们作为资源的容器,提供了一个关键的隔离层,这对于创建安全、治理良好的环境至关重要。有关更多信息,请参阅 什么是 Amazon Web Services 账户?。
将资源分成不同的 Amazon Web Services 账户 有助于您在云环境中支持以下原则:
-
安全控制:不同的应用程序可能具有不同的安全配置文件,这些配置文件需要不同的控制策略和机制。例如,可以更轻松地与审计员交谈,并能够指向单个 Amazon Web Services 账户,其中托管遵从支付卡行业(PCI)安全标准
的所有工作负载元素。 -
隔离 — Amazon Web Services 账户 是安全保护的单位。应在不影响其他账户的情况下,遏制 Amazon Web Services 账户 中的潜在风险和安全威胁。由于采用不同的团队或不同的安全配置文件,可能会带来不同的安全需求。
-
许多团队:不同的团队有不同的职责和资源需求。可以通过将团队移至单独的 Amazon Web Services 账户 来防止他们互相干扰。
-
数据隔离 – 除了隔离团队之外,将数据存储隔离到一个账户中也很重要。这有助于限制可以访问和管理该数据存储的人数。这有助于遏制高度私有数据的披露,因此有助于遵守欧盟的《通用数据保护条例》(GDPR)
。 -
业务流程 – 不同的业务单位或产品可能有完全不同的目的和流程。借助多个 Amazon Web Services 账户,您可以支持业务单位的特定需求。
-
账单 – 账户是在账单级别分开项目的唯一真正方式。多个账户有助于在账单级别上分开业务单位、职能团队或个人用户的项目。您仍然可以将所有账单合并为单个付款人(使用 Amazon Organizations 和整合账单),同时按 Amazon Web Services 账户 分开行项目。
-
配额分配 — 分别为每个 Amazon Web Services 账户 强制执行 Amazon 服务配额。将工作负载分成不同的 Amazon Web Services 账户 可以防止它们相互占用配额。
本文中描述的所有建议和程序均符合 Amazon Well-Architected Framework
管理多个 Amazon Web Services 账户
在开始添加多个账户之前,您需要制定管理这些账户的计划。为此,我们建议您使用 Amazon Organizations
Amazon 还提供 Amazon Control Tower,该工具为 Organizations 增加多层 Amazon 托管自动化,并自动将其与其他 Amazon 服务(例如 Amazon CloudTrail、Amazon Config、Amazon CloudWatch、Amazon Service Catalog 等)集成。这些服务可能会产生额外费用。有关更多信息,请参阅Amazon Control Tower 定价