使用多個 AWS 帳戶

AWS 帳戶 做為 中的基本安全界限 AWS。它們可做為資源容器，提供有用的隔離層級。隔離資源和使用者的能力是建立安全、良好受管環境的關鍵要求。

將資源分開， AWS 帳戶 可協助您在雲端環境中支援下列原則：

• 安全控制 – 不同的應用程式可以有不同的安全設定檔，需要不同的控制政策和機制。例如，與稽核人員交談更容易，而且能夠指向單一 AWS 帳戶 ，該單一 託管受支付卡產業 (PCI) 安全標準規範的所有工作負載元素。

• 隔離 – AWS 帳戶 是安全保護的單位。應將潛在風險和安全威脅包含在 中， AWS 帳戶 而不會影響其他人。由於不同的團隊或不同的安全設定檔，可能會有不同的安全需求。

• 許多團隊 – 不同的團隊有不同的責任和資源需求。您可以將團隊移至不同的位置，以防止團隊互相干擾 AWS 帳戶。

• 資料隔離 – 除了隔離團隊之外，將資料存放區隔離到 帳戶也很重要。這有助於限制可存取和管理該資料存放區的人數。這有助於控制對高度私有資料的暴露，因此有助於遵守歐盟的一般資料保護法規 (GDPR)。

• 業務流程 – 不同的業務單位或產品可能有完全不同的目的和程序。使用多個 AWS 帳戶，您可以支援業務單位的特定需求。

• 帳單 – 帳戶是在帳單層級分隔項目的唯一真實方式。多個帳戶可協助跨業務單位、職能團隊或個別使用者的帳單層級分隔項目。您仍然可以在明細項目分隔時，將所有帳單合併到單一付款人 （使用 AWS Organizations 和 合併帳單） AWS 帳戶。

• 配額分配 – AWS 服務配額會針對每個配額分別強制執行 AWS 帳戶。將工作負載分成不同的 AWS 帳戶 ，可防止它們互相消耗配額。

本指南中所述的所有建議和程序都符合 AWS Well-Architected Framework。此架構旨在協助您設計靈活、有彈性且可擴展的雲端基礎設施。即使您開始很小，仍建議您繼續遵循架構中的指引。這樣做可協助您安全地擴展環境，而不會在您成長時影響持續的操作。

開始新增多個帳戶之前，您會想要開發管理帳戶的計劃。為此，我們建議您使用 免費 AWS 服務 AWS Organizations來管理組織中的所有 AWS 帳戶 。

AWS 也提供 AWS Control Tower，可將受 AWS 管自動化層新增至 Organizations，並自動將其與其他 AWS 服務整合 AWS CloudTrail AWS Config，例如 AWS Service Catalog Amazon CloudWatch 等。這些服務可能會產生額外費用。如需詳細資訊，請參閱 AWS Control Tower 定價。