AWS 帳戶管理和區隔

PDFRSS

我們建議您根據功能、合規需求或一組常用的控制項，將個別帳戶和群組帳戶中的工作負載分門別類，而不要複製組織的報告結構。在 AWS 中，帳戶是硬性界限。例如，強烈建議進行帳戶層級的區隔，以便將生產工作負載與開發和測試工作負載隔離。

集中管理帳戶︰AWS Organizations 可自動建立和管理 AWS 帳戶，並在建立帳戶之後控制這些帳戶。當您透過 AWS Organizations 建立帳戶時，請務必考量所使用的電子郵件地址，因為這會允許重設密碼的根使用者。Organizations 可讓您將帳戶分組為 組織單位 (OU)，這些單位可根據工作負載的需求和用途代表不同的環境。

集中設定控制：僅允許適當層級的特定服務、區域和服務動作，以控制您的 AWS 帳戶可以執行的操作。AWS Organizations 可讓您使用服務控制政策 (SCP) 在組織、組織單位或帳戶層級套用許可防護機制，這適用於所有 AWS Identity and Access Management (IAM) 使用者和角色。例如，您可以套用 SCP，限制使用者在您未明確允許的區域中啟動資源。AWS Control Tower 提供一種簡化的方式來設定和管控多個帳戶。它會自動設定 AWS Organization 中的帳戶、自動化佈建、套用防護機制 (包括預防和偵測)，以及為您提供可見性的儀表板。

集中設定服務和資源︰AWS Organizations 可協助您設定適用於所有帳戶的 AWS 服務。例如，您可以使用 AWS CloudTrail，為組織內執行的所有動作設定集中日誌記錄，並阻止成員帳戶停用日誌記錄。此外，您還可以集中彙總使用 AWS Config 定義的規則資料，讓您能夠稽核工作負載的合規性，並快速對變更做出反應。AWS CloudFormationStackSets 可讓您跨帳戶和組織單位集中管理組織中的 AWS CloudFormation 堆疊。這讓您能夠自動佈建新帳戶以符合您的安全需求。

使用安全服務的委託管理功能將用於管理的帳戶與組織計費 (管理) 帳戶分開。數個 AWS 服務 (例如 GuardDuty、Security Hub 和 AWS Config) 支援與 AWS Organizations 的整合，包括為管理功能指定特定帳戶。

最佳實務

• SEC01-BP01 使用帳戶區隔工作負載

• SEC01-BP02 保護帳戶根使用者和屬性