管理组织单位 (OUs) 的最佳实践 AWS Organizations - AWS Organizations
理解 AWS Organizations推荐的基础知识 OUs推荐的额外内容 OUs结论

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理组织单位 (OUs) 的最佳实践 AWS Organizations

请遵循以下建议,以帮助您完成管理多账户环境的过程 AWS Organizations 使用组织单位 (OUs)。

理解 AWS Organizations

精心设计的多账户的基础 AWS 环境是 AWS Organizations,这使您能够集中管理和管理多个帐户。组织单位 (OU) 是组织中账户的逻辑分组。OUs使您能够将帐户组织成层次结构,并帮助您应用管理控制。Or ganizations 策略定义了您可以应用于一组的控制措施 AWS 账户。 例如,服务控制策略 (SCP) 就是定义以下内容的策略 AWS 服务 您组织中的账户可以执行的操作,例如 Amazon EC2 运行实例。

虽然你可以开始你的 AWS 使用单一账户旅程, AWS 建议您在工作负载规模和复杂性增加时设置多个帐户。使用多账户环境是 AWS 可以提供多种好处的最佳实践:

  • 根据各种要求进行快速创新:您可以分配 AWS 账户 分配给公司内的不同团队、项目或产品,以帮助确保他们每个人都能快速创新,同时满足自己的安全需求。

  • 简化计费:使用多个 AWS 账户 可以简化您的分配方式 AWS 通过帮助确定哪个产品或服务线负责来降低成本 AWS 充电。

  • 灵活的安全控制:您可以使用多个 AWS 账户 隔离具有特定安全要求或需要满足严格的合规性准则(例如或)的工作负载HIPAA或应用程序PCI。

  • 适应业务流程:您可以组织多个 AWS 账户 其方式最能反映贵公司具有不同运营、监管和预算要求的业务流程的多样化需求。

推荐的基础组织单位 () OUs

您的组织单位 (OUs) 应基于职能或常用控件集,而不是反映公司的报告结构。 AWS 建议您从安全性和基础架构入手。大多数企业都有集中式团队,为整个组织提供服务,以满足这些需求。我们建议OUs为这些特定功能创建一组基础知识:

  • 安全:用于安全服务。为日志存档、安全只读访问权限、安全工具和 break-glass 创建帐户。

  • 基础架构:用于共享基础设施服务,例如网络和 IT 服务。为您需要的每种基础设施服务创建账户。

鉴于大多数公司对生产工作负载有不同的策略要求,因此基础架构和安全性可以嵌套OUs于非生产 (SDLC) 和生产 (Prod)。SDLCOU 中的账户托管非生产工作负载,不应与其他账户存在生产依赖关系。如果生命周期阶段之间的 OU 策略存在差异,则SDLC可以分为多个阶段OUs(例如,开发阶段和预生产阶段)。Prod OU 中的账户托管生产工作负载。

根据您的要求在 OU 级别应用策略来管理产品和SDLC环境。通常,在 OU 级别应用策略比在个人账户级别应用策略更好,因为它可以简化策略管理和任何可能的故障排除。

下图显示了安全和基础架构的基础OUs(产品和SDLC):

此图像显示了安全和基础OUs架构的基础(产品和SDLC)。

中央服务到位后,我们建议您创建OUs与构建或运行您的产品或服务直接相关的服务。很多 AWS 客户在建立基础OUs后建立以下内容:

  • 沙盒:Hold s AWS 账户 个人开发者可以用它来试验 AWS 服务。 确保这些帐户可以与内部网络分离。

  • 工作负载:包含 AWS 账户 托管您的面向外部的应用程序服务。您应该在 Prod 环境OUs下SDLC构建结构(类似于基础环境OUs),以便隔离和严格控制生产工作负载。

我们还建议根据您的具体需求添加额外的OUs维护和持续扩展。以下是一些基于现有实践的常见主题 AWS 客户:

  • 策略分期:暂停 AWS 账户,您可以在其中测试提议的政策变更,然后将其广泛应用于组织。首先在计划的 OU 中实施账户级别的更改,然后慢慢地将变更应用OUs到其他账户以及整个组织的其他部门。

  • 暂停:包含 AWS 账户 已关闭,正在等待从组织中删除。在此 OU 上附加一个SCP拒绝所有操作的 OU。如果需要恢复,请确保在账户上标有详细信息以实现可追溯性。

  • 个人企业用户:包含有限访问权限的 OU AWS 账户 适用于可能需要创建与业务生产力相关的应用程序的业务用户(而非开发人员),例如设置 S3 存储桶以与合作伙伴共享报告或文件。

  • 例外:暂停 AWS 账户 用于具有高度定制的安全或审计要求的业务用例,这些要求与工作负载组织单位中定义的要求不同。例如,设置一个 AWS 账户 专门用于机密的新应用程序或功能。在账户SCPs级别使用,以满足定制需求。考虑使用 Amazon 设置检测 EventBridge和反应系统 AWS Config 规则

  • 部署:包含 AWS 账户 用于持续集成和持续交付/部署(CI/CD 部署)。如果您的 CI/CD 部署管理和运营模式与工作负载OUs(Prod 和)中的账户不同,则可以创建此 OU。SDLC分发 CI/CD 有助于减少组织对由中央团队运营的共享 CI/CD 环境的依赖。对于每组 SDLC /Prod AWS 账户 对于工作负载 OU 中的应用程序,请在部署 OU 下创建 CI/CD 帐户。

  • 过@@ :在将现有账户和工作负载转移到组织的标准区域之前,此处用作临时存放区。这可能是因为账户是收购的一部分,以前由第三方管理,或者是旧组织结构中的遗留账户。

下图显示了沙箱、工作负载、策略暂存、暂停、个人业务用户、异常、部署和过渡账户的其他OUs内容:

此图像显示了沙箱、工作负载、策略暂存、暂停、个人业务用户、异常、部署和过渡账户的其他OUs信息。

结论

精心设计的多账户策略可以帮助您在以下方面进行创新 AWS,同时帮助确保满足您的安全性和可扩展性需求。本主题中描述的框架代表 AWS 您应该以此作为起点的最佳实践 AWS 旅程。

下图显示了推荐的基础知识OUs和其他OUs内容:

此图像显示了推荐的基础OUs和其他OUs内容。