有关多账户环境的最佳实践 - Amazon Organizations
账户和凭证组织结构和工作负载服务和成本管理
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

有关多账户环境的最佳实践

遵循以下建议,以帮助指导您在 Amazon Organizations 中设置和管理多账户环境。

账户和凭证

启用根访问权限管理,简化成员账户的根用户凭证管理

建议您启用根访问权限管理,帮助监控和移除成员账户的根用户凭证。根访问权限管理可防止恢复根用户凭证,从而提高组织中的账户安全性。

  • 移除成员账户的根用户凭证,以防止登录到根用户。这也能防止成员账户恢复根用户。

  • 假设特权会话对成员账户执行以下任务:

    • 删除一项配置错误的存储桶策略,此策略拒绝所有主体访问 Amazon S3 存储桶策略。

    • 删除将会拒绝所有主体访问 Amazon SQS 队列的 Amazon Simple Queue Service 基于资源的策略。

    • 允许成员账户恢复其根用户凭证。有权访问该成员账户Amazon Web Services 电子邮件收件箱的人可以重置根用户密码,并以成员账户根用户身份登录。

启用根访问权限管理后,新创建的成员账户默认是安全的,不具有根用户凭证,因此无需在预置后执行额外的安全保护(例如 MFA)。

有关更多信息,请参阅《Amazon Identity and Access Management 用户指南》中的集中成员账户的根用户凭证

确保更新联系电话号码

要找回 Amazon Web Services 账户的访问权限,您必须拥有一个有效的联系电话号码并保持畅通,以便接收短信或电话。我们建议您使用专用的电话号码,以确保 Amazon 可以就账户支持和恢复目的与您联系。您可以通过 Amazon Web Services 管理控制台 或账户管理 API,来轻松查看和管理您的账户电话号码。

您可以通过多种方法来获得专用电话号码,以确保 Amazon 可以与您联系。我们强烈建议您购买专用 SIM 卡和实体电话。妥善长期保管手机和 SIM 卡,确保电话号码始终可用于恢复账户。此外还应确保负责手机账单的团队了解该号码的重要性,即使该号码长期未使用。必须对您组织内的此电话号码保密,以加强保护。

在 Amazon 联系信息控制台页面中记录该电话号码,并将其详情告知组织中必须了解该号码的具体团队。这种方法可帮助尽可能减少将电话号码转移到其他 SIM 卡相关的风险。根据您现有的信息安全策略存储电话。但是,请勿将电话存储在与其他相关凭证信息相同的位置。对电话或其保管位置的任何访问都应记录和监控。如果与账户关联的电话号码发生变化,请根据相关流程更新现有文档中记录的电话号码。

为根用户使用组电子邮件地址

使用由您的企业管理的电子邮件地址。使用会收到的邮件直接转发到一组用户的电子邮件地址。如果 Amazon 必须联系账户的所有(例如,确认访问权限),则电子邮件将分发给多个当事方。这种方法有助于降低响应延迟的风险,即使个人在度假、生病或离开公司时也是如此。

组织结构和工作负载

在单个组织中管理账户

我们建议您创建单个组织,并在该组织中管理您的所有账户。组织是一种安全边界,可帮助确保您环境中的账户保持一致。您可以在一个组织中跨账户集中应用策略或服务级别配置。如果要在多账户环境中实现一致的策略、集中可见性和编程控制,则建议通过单个组织来实现。

根据业务目的而不是报告架构对工作负载进行分组

我们建议您利用面向工作负载的顶层 OU 来隔离生产工作负载环境和数据。您的 OU 应基于一组通用的控制措施,而不是基于贵公司的报告架构。除生产 OU 外,我们建议您定义一个或多个非生产 OU,其中包含用于开发和测试工作负载的账户和工作负载环境。有关其他指导意见,请参阅 整理面向工作负载的 OU

使用多个账户来整理工作负载

Amazon Web Services 账户为您的 Amazon 资源提供了自然的安全、访问和计费边界。使用多个账户有很多好处,因为这样可以分配账户级别的限额和 API 请求速率限制,其他好处 详见此处。我们建议您使用多个 组织范围的基础账户,例如安全账户、日志记录账户和基础设施账户。对于工作负载账户,您应 利用不同的账户来隔离生产工作负载和测试/开发工作负载

服务和成本管理

使用服务控制台或 API/CLI 操作在组织层面启用 Amazon 服务

作为最佳实践,如需启用或禁用您想跨 Amazon Organizations 集成的任何服务,我们建议使用该服务的控制台或等效的 API 操作/CLI 命令。使用这种方法,Amazon 服务可以为您的组织执行所有需要的初始化步骤,例如在禁用服务时创建任何需要的资源以及清理资源。Amazon Account Management 是唯一需要使用 Amazon Organizations 控制台或 API 才能启用的服务。要查看与 Amazon Organizations 集成的服务列表,请参阅 Amazon Web Services 服务 你可以和它一起使用 Amazon Organizations

使用计费工具跟踪成本并优化资源使用情况

管理组织时,您会收到一份包含组织中账户的所有费用的整合账单。如果需要访问成本可见性功能的业务用户,您可以在管理账户中提供一个角色,并为其提供查看账单和成本工具的受限只读权限。例如,您可以 创建权限集 来提供账单报告的访问权限,也可以使用 Amazon Cost Explorer Service(一种用于查看一段时间内成本趋势的工具)以及 Amazon S3 Storage Lens 存储统计管理工具Amazon Compute Optimizer 等成本效率管理服务。

制定标记策略并在组织资源中强制使用标签

随着账户和工作负载的扩展,利用标签可以有效地帮助跟踪成本、控制访问权限和整理资源。对于标记命名策略,请遵循 为 Amazon 资源添加标签 中的指导意见。除资源外,您还可以为组织的根目录、账户、OU 和策略创建标签。有关更多信息,请参阅 制定标记策略