本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
我需要多个吗AWS 账户?
AWS 账户作为基本安全边界AWS. 它们充当资源容器,提供了有用的隔离级别。隔离资源和用户的能力是建立安全、良好管理的环境的关键要求。
将你的资源分成单独的AWS 账户有助于您在云环境中支持以下原则:
-
安全控制— 不同的应用程序可以具有不同的安全配置文件,需要围绕它们不同的控制策略 例如,与审计师交谈要容易得多,而且能够指向一个审计员AWS 账户它承载受到影响的工作负载的所有元素支付卡行业 (PCI) 安全标准
. -
隔离— 一个AWS 账户是一个安全保护单位。应将潜在风险和安全威胁包含在AWS 账户而不影响他人。由于不同的团队或安全配置文件不同,可能会有不同的安全需求。
-
许多团队— 不同的团队有不同的责任和资源需求。你可以通过将团队移动到分开来防止他们互相干扰AWS 账户.
-
数据隔离— 除了隔离团队之外,还必须将数据存储隔离到帐户中。这有助于限制可以访问和管理该数据存储的人数。这有助于遏制对高度私密数据的暴露,因此可以帮助遵守欧盟通用数据保护条例 (GDPR)
. -
业务流程— 不同的业务单位或产品可能具有完全不同的目的和流程。有多个AWS 账户,您可以支持业务部门的特定需求。
-
Billing— 账户是在账单级别分隔物品的唯一真实方法。多个账户有助于在不同业务单位、职能团队或个人用户之间分开账单级别的项目。您仍然可以将所有账单合并到单个付款人(使用AWS Organizations和整合账单),同时将行项目分隔为AWS 账户.
-
配额分配–AWS每个服务配额分别强制执行AWS 账户. 将工作负载分为不同AWS 账户阻止他们互相消耗配额。
本文档中描述的所有建议和程序都符合AWS架构完善的框架
管理多个AWS 账户
在开始添加多个账户之前,您需要制定管理它们的计划。为此,建议您使用AWS Organizations
AWS还优惠AWS Control Tower,它添加了层AWS管理 Organizations 的自动化并自动将其与其他组织集成AWS类似服务AWS CloudTrail、AWS Config、Amazon CloudWatchAWS Service Catalog,以及其他人。这些服务可能会产生额外费用。有关更多信息,请参阅AWS Control Tower定价