有关多账户环境的最佳实践 - Amazon Organizations
账户和凭证组织结构和工作负载服务和成本管理
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

有关多账户环境的最佳实践

请遵循这些建议,帮助您完成在中设置和管理多账户环境的过程。 Amazon Organizations

账户和凭证

启用 root 访问权限管理以简化成员账户的 root 用户凭证的管理

我们建议您启用 root 访问权限管理,以帮助您监控和删除成员账户的 root 用户证书。根访问权限管理可防止根用户凭证的恢复,从而提高组织中的账户安全性。

  • 删除成员账户的 root 用户凭证,以防止登录 root 用户。这还会阻止成员账户恢复根用户。

  • 假设特权会话对成员账户执行以下任务:

    • 删除一项配置错误的存储桶策略,此策略拒绝所有主体访问 Amazon S3 存储桶策略。

    • 删除将会拒绝所有主体访问 Amazon SQS 队列的 Amazon Simple Queue Service 基于资源的策略。

    • 允许成员账户恢复其根用户证书。有权访问该成员账户的 Amazon Web Services 电子邮件收件箱的人可以重置根用户密码并以成员账户根用户身份登录。

启用根访问管理后,新创建的成员账户将没有根用户证书,这样就无需在配置后提供额外的安全保护,例如MFA。 secure-by-default

有关更多信息,请参阅《用户指南》中的 “集中管理成员账户的根Amazon Identity and Access Management 用户证书”。

确保更新联系电话号码

要恢复对您的访问权限 Amazon Web Services 账户,请务必拥有一个有效且有效的联系电话号码,以便您能够接收短信或来电。我们建议您使用专用的电话号码,以确保 Amazon 可以联系您以获得账户支持和恢复资金。您可以通过 Amazon Web Services Management Console 或账户管理轻松查看和管理您的账户电话号码 APIs。

有多种方法可以获取专用电话号码,以确保 Amazon 可以与您联系。我们强烈建议您购买专用 SIM 卡和实体电话。妥善长期保管手机和 SIM 卡,确保电话号码始终可用于恢复账户。此外还应确保负责手机账单的团队了解该号码的重要性,即使该号码长期未使用。必须对您组织内的此电话号码保密,以加强保护。

在 Amazon 联系信息控制台页面中记录电话号码,并与组织中必须知道的特定团队共享其详细信息。这种方法可帮助尽可能减少将电话号码转移到其他 SIM 卡相关的风险。根据您现有的信息安全策略存储电话。但是,请勿将电话存储在与其他相关凭证信息相同的位置。对电话或其保管位置的任何访问都应记录和监控。如果与账户关联的电话号码发生变化,请根据相关流程更新现有文档中记录的电话号码。

为根用户使用组电子邮件地址

使用由您的企业管理的电子邮件地址。使用会收到的邮件直接转发到一组用户的电子邮件地址。例如,如果 Amazon 必须联系账户所有者以确认访问权限,则电子邮件将分发给多方。这种方法有助于降低响应延迟的风险,即使个人在度假、生病或离开公司时也是如此。

组织结构和工作负载

在单个组织中管理账户

我们建议您创建单个组织,并在该组织中管理您的所有账户。组织是一种安全边界,可帮助确保您环境中的账户保持一致。您可以在一个组织中跨账户集中应用策略或服务级别配置。如果要在多账户环境中实现一致的策略、集中可见性和编程控制,则建议通过单个组织来实现。

根据业务目的而不是报告架构对工作负载进行分组

我们建议您将生产工作负载环境和数据隔离在面向工作负载的顶级工作负载 OUs下。您 OUs 应该基于一组通用的控制措施,而不是反映公司的报告结构。除了生产之外 OUs,我们建议您定义一个或多个非生产环境,其中 OUs 包含用于开发和测试工作负载的帐户和工作负载环境。有关其他指导,请参阅组织面向工作负载 OUs

使用多个账户来整理工作负载

为您的 Amazon 资源 Amazon Web Services 账户 提供了自然的安全性、访问权限和计费界限。使用多个账户有很多好处,因为这样可以分配账户级别的限额和 API 请求速率限制,其他好处 详见此处。我们建议您使用多个 组织范围的基础账户,例如安全账户、日志记录账户和基础设施账户。对于工作负载账户,您应 利用不同的账户来隔离生产工作负载和测试/开发工作负载

服务和成本管理

使用 Amazon 服务控制台或 API/CLI 操作在组织层面启用服务

作为最佳实践,我们建议您 Amazon Organizations 使用该服务的控制台或 API Operations/CLI 命令等效命令启用或禁用要与之集成的任何服务。使用此方法,该 Amazon 服务可以为您的组织执行所有必需的初始化步骤,例如在禁用服务时创建任何必需的资源和清理资源。 Amazon 账户管理 是唯一需要使用 Amazon Organizations 控制台或启 APIs 用的服务。要查看与之集成的服务列表 Amazon Organizations,请参阅Amazon Web Services 服务 你可以和它一起使用 Amazon Organizations

使用计费工具跟踪成本并优化资源使用情况

管理组织时,您会收到一份包含组织中账户的所有费用的整合账单。如果需要访问成本可见性功能的业务用户,您可以在管理账户中提供一个角色,并为其提供查看账单和成本工具的受限只读权限。例如,您可以 创建权限集 来提供账单报告的访问权限,也可以使用 Amazon Cost Explorer Service (一种用于查看一段时间内成本趋势的工具)以及 Amazon S3 Storage Lens 存储统计管理工具Amazon Compute Optimizer 等成本效率管理服务。

制定标记策略并在组织资源中强制使用标签

随着账户和工作负载的扩展,利用标签可以有效地帮助跟踪成本、控制访问权限和整理资源。要了解标记命名策略,请按照为资源添加标签中的指导进行操作。 Amazon 除资源外,您还可以在组织根目录 OUs、账户和策略上创建标签。有关更多信息,请参阅 制定标记策略