AWS AWSControl Tower landing zone 的多帳戶策略

AWSControl Tower 客戶經常尋求有關如何設置他們的指導 AWS 環境和佔最佳結果。 AWS 建立了一組統一的建議，稱為「多帳戶策略」，以協助您充分利用 AWS 資源，包括您的 AWS Control Tower landing zone。

本質上，AWSControl Tower 充當與其他人一起工作的協調層 AWS 服務，協助您實施 AWS 多帳戶建議 AWS 帳戶和 AWS Organizations。 在您的 landing zone 設定完成後，AWSControl Tower 會繼續協助您維護跨多個帳戶和工作負載的公司政策和安全性做法。

大多數著陸區隨著時間而發展。隨著 AWS Control Tower landing zone 中的組織單位 (OUs) 和帳戶數量增加，您可以透過有助於有效地組織工作負載的方式擴展 AWS Control Tower 部署。本章提供了有關如何規劃和設置 AWS Control Tower landing zone 的規定指導，與 AWS 多帳戶策略，並隨著時間的推移擴展。

如需有關組織單位最佳作法的一般討論，請參閱組織單位的最佳作法 AWS Organizations.

AWS 多帳戶策略：最佳做法指南

AWS 架構良好環境的最佳實務建議您將資源和工作負載分成多個 AWS 帳戶。你能想到的 AWS 帳戶作為隔離的資源容器：它們提供工作負載分類，以及在出錯時減少爆炸半徑。

一個定義 AWS 帳戶

一個 AWS 帳號充當資源容器和資源隔離邊界。

注意

同時 AWS 帳戶與使用者帳戶不同，該帳戶是透過同盟或 AWS Identity and Access Management (IAM).

更多關於 AWS 帳戶

同時 AWS 帳戶提供隔離資源並包含安全威脅的能力 AWS 工作負載。帳戶還提供了一種計費機制，以及用於工作負載環境的控管。

所以此 AWS account 是為工作負載提供資源容器的主要實作機制。如果您的環境架構良好，您可以管理多個 AWS 有效的帳戶，從而管理多個工作負載和環境。

AWSControl Tower 建立了一個架構良好的環境。它依賴於 AWS 帳戶，以及 AWS Organizations，這有助於控管可跨多個帳戶擴展的環境變更。

一個結構良好的環境的定義

AWS 將架構良好的環境定義為以 landing zone 開始的環境。

AWSControl Tower 提供了一個自動設置的 landing zone。它會強制執行控制，以確保您環境中的多個帳戶符合企業準則。

landing zone 的定義

landing zone 域是一種雲端環境，提供建議的起點，包括預設帳戶、帳戶結構、網路和安全性配置等。從 landing zone，您可以部署利用您的解決方案和應用程式的工作負載。

建立架構良好環境的指引

結構良好的環境的三個關鍵元件，在以下各節中說明：

• 多個 AWS 帳戶

• 多個組織單位 (OUs)

• 精心規劃的結構

使用多個AWS帳戶

一個帳戶不足以設置一個架構良好的環境。通過使用多個帳戶，您可以最好地支持您的安全目標和業務流程。以下是使用多帳戶方法的一些好處：

• 安全性控制 — 應用程式具有不同的安全性設定檔，因此需要不同的控制原則和機制。例如，與稽核員交談並指向託管支付卡產業 (PCI) 工作負載的單一帳戶要容易得多。

• 隔離 — 帳戶是安全保護的一個單位。帳戶中可能包含潛在風險和安全威脅，而不會影響其他人。因此，安全性需求可能會要求您將帳戶彼此隔離。例如，您的團隊可能具有不同的安全性設定檔。

• 許多團隊 — 團隊有不同的職責和資源需求。通過設置多個帳戶，團隊不能互相干擾，因為他們可能在使用同一帳戶時。

• 資料隔離 — 將資料存放區隔離至帳戶，有助於限制可存取資料並可以管理資料存放區的人數。這種隔離有助於防止未經授權暴露高度私密的數據。例如，資料隔離有助於支援符合《一般資料保護條例》(GDPR) 的規定。

• 業務流程 — 業務單位或產品通常具有完全不同的目的和流程。可以建立個人帳戶以滿足特定業務需求。

• 帳單 — 帳戶是在帳單層級分隔項目的唯一方法，包括轉移費用等項目。多帳戶策略有助於跨業務單位、功能團隊或個別使用者建立個別的可計費項目。

• 配額分配 — AWS 配額是以每個帳戶為基礎設定。將工作負載分隔到不同的帳戶中，可為每個帳戶 (例如專案) 提供明確定義的個別配額。

使用多個組織單位

AWSControl Tower 和其他客戶協調架構可以進行跨帳戶界限的變更。因此， AWS 最佳做法可解決跨帳戶變更，這可能會破壞環境或破壞其安全性。在某些情況下，變更可能會影響整體環境，而不是政策。因此，我們建議您至少設定兩個強制性帳戶，即生產和預備帳戶。

此外, AWS 基於治理和控制目的，帳戶通常被分組為組織單位 (OUs)。OUs旨在處理跨多個帳戶執行政策。

我們的建議是，您至少要使用不同的控制項和原則，建立與生產環境不同的生產前 (或預備) 環境。生產環境和預備環境可以單獨建立和管理OUs，並以個別帳戶計費。此外，您可能會想要設定用於程式碼測試的沙箱 OU。

在您的 landing zone 使用精心規劃OUs的結構

AWSControl Tower 會自動OUs為您設置一些。隨著您的工作負載和需求隨著時間的推移而擴展，您可以擴展原始的 landing zone 配置以滿足您的需求。

注意

示例中給出的名稱遵循建議 AWS 設定多帳戶的命名慣例 AWS 環境。您可以在設定 landing zone 域OUs後重新命名，方法是選取 OU 詳細資料頁面上的 [編輯]。

建議

在 AWS Control Tower 為您設定第一個必要的 OU (安全性 OU) 之後，我們建議您OUs在 landing zone 建立一些額外的 OU。

我們建議您允許 AWS Control Tower 至少建立一個額外的 OU，稱為沙箱 OU。此 OU 適用於您的軟體開發環境。AWS如果您選取 Control Tower，則可以在建立 landing zone 域期間為您設定沙箱 OU。

另外兩個OUs您可以自行設定的建議：包含共用服務和網路帳戶的基礎結構 OU，以及用來包含生產工作負載的 OU (稱為工作負載 OU)。您可以透過「組織單位」頁面上的「Con AWS trol Tower」主控台，OUs在您的 landing zone 新增額外資訊。

OUs除了自動設置之外，推薦

• 基礎結構 OU — 包含您的共用服務和網路帳戶。

  注意

  AWSControl Tower 不會為您設定基礎架構 OU。

• 沙箱 OU — 軟體開發 OU。例如，它可能有固定的支出限制，或者可能沒有連接到生產網絡。

  注意

  AWSControl Tower 建議您設定沙箱 OU，但這是選擇性的。它可以在配置 landing zone 域時自動進行設置。

• 工作負載 OU — 包含執行工作負載的帳戶。

  注意

  AWSControl Tower 不會為您設定工作負載 OU。

如需詳細資訊，請參閱 AWSControl Tower 的生產入門組織。

具有完整多帳戶 OU 結構的 AWS Control Tower 範例

AWSControl Tower 支援巢狀 OU 階層，這表示您可以建立符合組織需求的階層式 OU 結構。您可以建立一個 AWS Control Tower 環境來匹配 AWS 多帳戶策略指引。

您也可以建置一個更簡單、扁平的 OU 結構，該結構執行良好並與 AWS 多帳戶指引。僅僅因為您可以建置階層式 OU 結構，並不代表您必須這麼做。

• 若要檢視在擴充的平面 AWS Control Tower 環境OUs中顯示範例集的圖表 AWS 多帳戶指引，請參閱範例：扁平 OU 結構中的工作負載。

• 如需 AWS Control Tower 如何與巢狀 OU 結構搭配運作的詳細資訊，請參閱AWS Control Tower 中的巢狀 OU。

• 有關 AWS Control Tower 如何與 AWS 指引，請參閱 AWS 白 paper，組織您的 AWS 使用多個帳戶的環境。

鏈接頁面上的圖表顯示了更多的基礎OUs和更多的附加OUs已創建。這些OUs可滿足較大部署的額外需求。

在「基礎OUs」欄中，OUs已將兩個新增至基本結構：

• Security_Prod OU — 提供安全性原則的唯讀區域，以及中斷安全性稽核區域。

• 基礎結構 OU — 您可能希望將先前建議的基礎結構 OU 分為兩個OUs：基礎結構 _Test (適用於生產前的基礎結構) 和基礎結構 _Prod (適用於生產基礎結構)。

在「其他」OUs 區域中，基本結構中增加了幾個。OUs以下是下一個建議OUs您隨著環境成長而建立的項目：

• 工作負載 OU — 先前建議但選用的工作負載 OU 已分為兩種OUs：Workloads_Test (適用於生產前工作負載) 和 Workloads_Prod (適用於生產工作負載)。

• PolicyStaging OU — 可讓系統管理員先測試他們對控制項和原則的變更，然後再完全套用這些變更

• 已暫停的 OU — 為可能已暫時停用的帳戶提供位置。

關於根

根目錄不是 OU。它是管理帳戶以及組織中所有帳戶OUs和帳戶的容器。從概念上講，根包含所有的OUs. 無法刪除它。您無法在 AWS Control Tower 內的根層級管理已註冊的帳號。相反地，管理您的OUs. 如需有用的圖表，請參閱 AWS Organizations 文件。