我需要多个吗AWS 账户?

AWS 账户作为基本安全边界AWS. 它们充当资源容器，提供了有用的隔离级别。隔离资源和用户的能力是建立安全、良好管理的环境的关键要求。

将你的资源分成单独的AWS 账户有助于您在云环境中支持以下原则：

• 安全控制— 不同的应用程序可以具有不同的安全配置文件，需要围绕它们不同的控制策略 例如，与审计师交谈要容易得多，而且能够指向一个审计员AWS 账户它承载受到影响的工作负载的所有元素支付卡行业 (PCI) 安全标准.

• 隔离— 一个AWS 账户是一个安全保护单位。应将潜在风险和安全威胁包含在AWS 账户而不影响他人。由于不同的团队或安全配置文件不同，可能会有不同的安全需求。

• 许多团队— 不同的团队有不同的责任和资源需求。你可以通过将团队移动到分开来防止他们互相干扰AWS 账户.

• 数据隔离— 除了隔离团队之外，还必须将数据存储隔离到帐户中。这有助于限制可以访问和管理该数据存储的人数。这有助于遏制对高度私密数据的暴露，因此可以帮助遵守欧盟通用数据保护条例 (GDPR).

• 业务流程— 不同的业务单位或产品可能具有完全不同的目的和流程。有多个AWS 账户，您可以支持业务部门的特定需求。

• Billing— 账户是在账单级别分隔物品的唯一真实方法。多个账户有助于在不同业务单位、职能团队或个人用户之间分开账单级别的项目。您仍然可以将所有账单合并到单个付款人（使用AWS Organizations和整合账单），同时将行项目分隔为AWS 账户.

• 配额分配–AWS每个服务配额分别强制执行AWS 账户. 将工作负载分为不同AWS 账户阻止他们互相消耗配额。

本文档中描述的所有建议和程序都符合AWS架构完善的框架. 此框架旨在帮助您设计灵活、有弹性且可扩展的云基础架构。即使你从小开始，我们建议你遵循框架中的这一指导方针。这样做可以帮助您安全地扩展环境，而不会影响随着增长的持续运营。

管理多个AWS 账户

在开始添加多个账户之前，您需要制定管理它们的计划。为此，建议您使用AWS Organizations，这是一个免费的AWS服务来管理所有AWS 账户在组织中。

AWS还优惠AWS Control Tower，它添加了层AWS管理 Organizations 的自动化并自动将其与其他组织集成AWS类似服务AWS CloudTrail、AWS Config、Amazon CloudWatchAWS Service Catalog，以及其他人。这些服务可能会产生额外费用。有关更多信息，请参阅AWS Control Tower定价。