使用多个 AWS 账户

AWS 账户 充当基本的安全边界 AWS。它们充当资源容器，提供有用的隔离级别。隔离资源和用户的能力是建立安全、治理良好的环境的关键要求。

将资源分成不同的资源 AWS 账户 有助于您在云环境中支持以下原则：

• 安全控制 – 不同的应用程序可能具有不同的安全配置文件，这些配置文件需要不同的控制策略和机制。例如，可以更轻松地与审计师交谈，并能够指向一个 AWS 账户 受支付卡行业 (PCI) 安全标准约束的工作负载的所有要素的审计员。

• 隔离- AWS 账户 是安全保护的单位。应在 AWS 账户 不影响他人的情况下控制潜在风险和安全威胁。由于采用不同的团队或不同的安全配置文件，可能会带来不同的安全需求。

• 许多团队 – 不同的团队有不同的职责和资源需求。您可以通过将团队移至分开 AWS 账户来防止他们互相干扰。

• 数据隔离 – 除了隔离团队之外，将数据存储隔离到一个账户中也很重要。这有助于限制可以访问和管理该数据存储的人数。这有助于遏制高度私有数据的披露，因此有助于遵守欧盟的《通用数据保护条例》（GDPR）。

• 业务流程 – 不同的业务单位或产品可能有完全不同的目的和流程。使用多个 AWS 账户，您可以支持业务部门的特定需求。

• 账单 – 账户是在账单级别分开项目的唯一真正方式。多个账户有助于在账单级别上分开业务单位、职能团队或个人用户的项目。您仍然可以将所有账单合并为一个付款人（使用 AWS Organizations 和整合账单），同时将各行项目分 AWS 账户开。

• 配额分配 — AWS 服务配额是分别为每个配额强制执行的 AWS 账户。将工作负载分成不同的 AWS 账户 可以防止它们相互占用配额。

本指南中描述的所有建议和程序均符合 AWS Well-Architected Framework。该框架旨在帮助您设计灵活、有弹性且可扩展的云基础设施。即使您从小规模起步，我们也建议您按照框架中的指导推进。这样做可以帮助您安全地扩展环境，而不会随着企业成长而影响您的持续运营。

在开始添加多个账户之前，您需要制定管理这些账户的计划。为此，我们建议您使用 AWS Organizations（这是一项免费 AWS 服务）来管理组织 AWS 账户 中的所有内容。

AWS 还提供了 AWS Control Tower，它为 Organizations 增加了多层 AWS 托管自动化，并自动将其与其他 AWS 服务（如 AWS CloudTrail、 AWS Config CloudWatch AWS Service Catalog、Amazon 等）集成。这些服务可能会产生额外费用。有关更多信息，请参阅 AWS Control Tower 定价。