COST02-BP03 實作帳戶結構 - AWS Well-Architected 架構

COST02-BP03 實作帳戶結構

實作與您的組織對應的帳戶結構。這有助於在整個組織中分配和管理成本。

未建立此最佳實務時的風險暴露等級:

實作指引

AWS Organizations 可讓您建立多個 AWS 帳戶,當您在 AWS 上擴展工作負載時,這可協助您集中管控環境。您可以採用組織單位 (OU) 結構來為 AWS 帳戶 進行分組,再於每個組織單位下建立多個 AWS 帳戶,藉此塑造組織階層的模型。若要建立帳戶結構,您必須先決定要以哪個 AWS 帳戶 作為管理帳戶。之後,便能建立新的 AWS 帳戶,或根據您指定的帳戶結構將現有帳戶選為成員帳戶,相關做法請遵循管理帳戶最佳實務成員帳戶最佳實務

無論您的組織規模或用量為何,都建議您一律要有至少一個管理帳戶,以及一個與管理帳戶連結的成員帳戶。所有工作負載資源都只應位於成員帳戶內,請勿在管理帳戶內建立任何資源。關於應該擁有多少個 AWS 帳戶,並沒有一體適用的答案。請評估您目前和未來的運作與成本模式,確保 AWS 帳戶 的結構呼應組織的目標。有些公司基於業務原因建立多個 AWS 帳戶,例如:

  • 組織單位、成本中心或特定工作負載之間需要行政管理或會計年度和帳單上的區隔。

  • AWS 服務限制是依照特定工作負載區分所設定。

  • 工作負載和資源之間需要區隔和隔離。

AWS Organizations 內,合併帳單會在一或多個成員帳戶與管理帳戶之間建立結構。成員帳戶可讓您依群組隔離和區分成本和用量。常見實務是各組織單位分別有成員帳戶 (例如財務、行銷和銷售),或是各個環境生命週期分立 (例如開發、測試和生產),或是各工作負載分立 (工作負載 a、b 和 c),再使用合併帳單彙總這些連結帳戶。

合併帳單可讓您將多個 AWS 帳戶 的款項合併至單一管理帳戶之下,同時仍為各連結帳戶的活動提供可見度。由於成本和用量的在管理帳戶中彙總,這可讓您獲得最大的服務容量折扣以及最大的使用承諾折扣 (Savings Plans 和預留執行個體),以享受最高折扣。

下圖顯示如何使用 AWS Organizations 與組織單位 (OU) 來將多個帳戶分組,並將多個 AWS 帳戶 放到每個 OU 底下。建議您使用 OU 來處理各種使用案例和工作負載,以便提供用於整理帳戶的模式。

Tree diagram showing how to group multiple accounts under organizational units.

將多個 AWS 帳戶 分組到組織單位底下的範例。

AWS Control Tower 可以快速建立和設定多個 AWS 帳戶,確保管控符合組織的要求。

實作步驟

  • 定義分隔要求:分隔要求是多個因素的組合,包括安全性、可靠性和財務結構。依序處理每個因素,並指定工作負載或工作負載環境是否應與其他工作負載分開。為了安全,我們必須遵守存取和資料要求。為求可靠,我們必須有所限制,以免環境和工作負載影響其他資源。請定期檢閱 Well-Architected 架構的安全性和可靠性支柱,並遵循其中所提供的最佳實務。財務結構會建立嚴格的財務分隔 (不同的成本中心、工作負載擁有權和責任)。常見的分隔範例是生產和測試工作負載會在不同的帳戶開始執行,或使用單獨的帳戶,以便將發票和帳單資料提供給組織內的個別業務單位或部門,或是擁有帳戶的利害關係人。

  • 定義分組要求:分組要求不會覆寫分隔要求,而是用來協助管理。將不需要分隔的類似環境或工作負載分成同一組。例如,將來自一或多個工作負載的多個測試或開發環境分組在一起。

  • 定義帳戶結構:使用這些分隔和群組,為每個群組指定一個帳戶,並維持分隔要求。這些帳戶是您的成員帳戶或連結帳戶。透過將這些成員帳戶分組到單一管理帳戶或付款人帳戶下,您可以結合用量,以讓所有帳戶獲得更多數量折扣,而為所有帳戶提供單一帳單。您可以分隔帳單資料,以便在每個成員帳戶中檢視單獨的帳單資料。如果不允許透過任何其他帳戶查看某個成員帳戶中的用量或帳單資料,或是需要與 AWS 分開的帳單,請定義多個管理帳戶或付款人帳戶。在這種情況下,每個成員帳戶都有自己的管理帳戶或付款人帳戶。資源應一律放在成員或連結帳戶中。管理帳戶或付款人帳戶只能用於管理。

資源

相關文件:

相關範例:

相關影片:

相關範例: