本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
我需要多个吗Amazon Web Services 账户?
Amazon Web Services 账户作为基本安全边界Amazon. 它们充当资源容器,提供了有用的隔离级别。隔离资源和用户的能力是建立安全、良好管理的环境的关键要求。
将你的资源分成单独的Amazon Web Services 账户有助于您在云环境中支持以下原则:
-
安全控制— 不同的应用程序可以具有不同的安全配置文件,需要围绕它们不同的控制策略 例如,与审计师交谈要容易得多,而且能够指向一个审计员Amazon Web Services 账户它承载受到影响的工作负载的所有元素支付卡行业 (PCI) 安全标准
. -
隔离— 一个Amazon Web Services 账户是一个安全保护单位。应将潜在风险和安全威胁包含在Amazon Web Services 账户而不影响他人。由于不同的团队或安全配置文件不同,可能会有不同的安全需求。
-
许多团队— 不同的团队有不同的责任和资源需求。你可以通过将团队移动到分开来防止他们互相干扰Amazon Web Services 账户.
-
数据隔离— 除了隔离团队之外,还必须将数据存储隔离到帐户中。这有助于限制可以访问和管理该数据存储的人数。这有助于遏制对高度私密数据的暴露,因此可以帮助遵守欧盟通用数据保护条例 (GDPR)
. -
业务流程— 不同的业务单位或产品可能具有完全不同的目的和流程。有多个Amazon Web Services 账户,您可以支持业务部门的特定需求。
-
Billing— 账户是在账单级别分隔物品的唯一真实方法。多个账户有助于在不同业务单位、职能团队或个人用户之间分开账单级别的项目。您仍然可以将所有账单合并到单个付款人(使用Amazon Organizations和整合账单),同时将行项目分隔为Amazon Web Services 账户.
-
配额分配–Amazon每个服务配额分别强制执行Amazon Web Services 账户. 将工作负载分为不同Amazon Web Services 账户阻止他们互相消耗配额。
本文档中描述的所有建议和程序都符合Amazon架构完善的框架
管理多个Amazon Web Services 账户
在开始添加多个账户之前,您需要制定管理它们的计划。为此,建议您使用Amazon Organizations
Amazon还优惠Amazon Control Tower,它添加了层Amazon管理 Organizations 的自动化并自动将其与其他组织集成Amazon类似服务Amazon CloudTrail、Amazon Config、Amazon CloudWatchAmazon Service Catalog,以及其他人。这些服务可能会产生额外费用。有关更多信息,请参阅Amazon Control Tower定价