本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
我是否需要多個AWS 帳戶?
AWS 帳戶作為基本的安全邊界AWS。它們充當資源容器,可提供有用的隔離級別。隔離資源和用户的能力是建立安全、管理良好的環境的關鍵要求。
將您的資源分離為單獨的AWS 帳戶可幫助您在雲環境中支持以下原則:
-
安全控制— 不同的應用程序可以有不同的安全配置文件,需要圍繞它們不同的控制策略和機制。例如,與審計員交談要容易得多,並且能夠指向單個AWS 帳戶,託管工作負載中受支付卡產業 (PCI) 安全標準
。 -
隔離— 一個AWS 帳戶是一個安全保護單位。潛在風險和安全威脅應包含在AWS 帳戶而不影響他人. 由於不同的團隊或不同的安全配置文件,可能存在不同的安全需求。
-
許多隊伍— 不同的團隊有不同的職責和資源需求。您可以防止團隊互相幹擾,方法是將它們移動到分離AWS 帳戶。
-
數據隔離— 除了隔離團隊之外,還必須將數據存儲隔離到帳户。這有助於限制可以訪問和管理該數據存儲的人數。這有助於控制高度私有數據的暴露,因此有助於遵守歐盟《一般資料保護條例》(GDPR)
。 -
B. 業務流程— 不同的業務部門或產品可能具有完全不同的目的和流程。使用多個AWS 帳戶,您可以支持業務部門的特定需求。
-
計費— 賬户是在賬單級別分隔項目的唯一真正方法。多個帳户有助於跨業務部門、職能團隊或個人用户在賬單級別分隔項目。您仍然可以將所有賬單合併到一個付款人(使用AWS Organizations和整合賬單),同時將行項目由AWS 帳戶。
-
配額分配–AWS服務配額分別為每個AWS 帳戶。將工作負載分離到不同的AWS 帳戶防止它們相互消耗配額。
本文檔中描述的所有建議和程序均符合AWSWell-Architected 框架
管理多個AWS 帳戶
在開始添加多個帳户之前,您需要制定一個管理它們的計劃。為此,我們建議您使用AWS Organizations
AWS還提供AWS Control Tower,它添加了AWS託管自動化到 Organizations,並自動將其與其他AWSLIKEAWS CloudTrail、AWS Config、Amazon CloudWatch、AWS Service Catalog和其他。這些服務會產生額外成本。如需詳細資訊,請參閱 AWS Control Tower 定價
