AWS AWS Control Tower 着陆区的多账户策略 - AWS Control Tower
与 AWS 多账户指南保持一致设置架构完善的环境的指南具有完整多账户 OU 结构的 AWS Control Tower 示例关于根

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS AWS Control Tower 着陆区的多账户策略

AWS Control Tower 客户经常寻求有关如何设置 AWS 环境和账户以获得最佳效果的指导。AWS 创建了一组统一的建议,称为多账户策略,以帮助您充分利用自己的 AWS 资源,包括 AWS Control Tower 着陆区。

从本质上讲,AWS Control Tower 充当与其他 AWS 服务配合使用的编排层,这些服务可帮助您实施针对 AWS 账户和的多 AWS 账户建议。 AWS Organizations在登录区设置完毕后,AWS Control Tower 将继续协助您在多个账户和工作负载中维护您的公司策略和安全实践。

大多数登录区会随着时间的推移而发展。随着 AWS Control Tower 着陆区中组织单位 (OUs) 和账户数量的增加,您可以通过有助于有效组织工作负载的方式扩展 AWS Control Tower 的部署。本章提供规范性指导,说明如何根据 AWS 多账户策略规划和设置您的 AWS Control Tower 登录区,并随着时间的推移对其进行扩展。

有关组织单位最佳做法的一般性讨论,请参阅组织单位的最佳实践 AWS Organizations

AWS 多账户策略:最佳实践指南

AWS 架构良好的环境的最佳实践建议您将资源和工作负载分成多个 AWS 账户。您可以将 AWS 账户视为独立的资源容器:它们提供工作负载分类,并在出现问题时缩小影响范围。

AWS 账户的定义

AWS 账户充当资源容器和资源隔离边界。

注意

AWS 账户与通过联邦或 AWS Identity and Access Management (IAM) 设置的用户账户不同。

关于 AWS 账户的更多信息

AWS 账户可以隔离资源并遏制 AWS 工作负载面临的安全威胁。账户还提供了一种用于计费和工作负载环境监管的机制。

该 AWS 账户是为您的工作负载提供资源容器的主要实现机制。如果您的环境架构良好,则可以有效地管理多个 AWS 帐户,从而管理多个工作负载和环境。

AWS Control Tower 设置了一个架构完善的环境。它依赖于 AWS 账户 AWS Organizations,这些账户可以帮助管理可能跨多个账户的环境更改。

架构完善的环境的定义

AWS 将架构良好的环境定义为以 landing zone 开头的环境。

AWS Control Tower 提供了一个自动设置的登录区。它会对环境中的多个账户实施控制措施,以确保符合公司规范。

登录区的定义

登录区是一种提供推荐起点的云环境,包括默认账户、账户结构、网络和安全布局等。在登录区中,您可以部署利用您的解决方案和应用程序的工作负载。

设置架构完善的环境的指南

以下各部分介绍了架构完善的环境的三个关键组成部分:

  • 多个 AWS 账户

  • 多个组织单位 (OUs)

  • 精心设计的结构

使用多个 AWS 账户

仅凭一个账户不足以设置架构完善的环境。通过使用多个账户,您可以为自己的安全目标和业务流程提供最佳支持。以下是采用多账户方法的一些好处:

  • 安全控制 – 应用程序可能具有不同的安全配置文件,因此需要不同的控制策略和机制。例如,在与审计员交谈时,只需指出一个托管支付卡行业(PCI)工作负载的单一账户即可。

  • 隔离:账户是安全保护的单位。潜在的风险和安全威胁可控制在一个账户内,而不会影响到其他账户。因此,出于安全考虑,您可能需要将账户相互隔离开来。例如,您可能有具有不同安全配置文件的团队。

  • 多个团队 – 团队的职责和资源需求各不相同。通过设置多个账户,团队之间就不会像使用同一个账户那样相互干扰。

  • 数据隔离 - 将数据存储隔离到一个账户有助于限制可访问数据和管理数据存储的人数。这种隔离有助于防止未经授权泄露高度私密的数据。例如,数据隔离有助于支持遵守《通用数据保护条例》(GDPR)。

  • 业务流程 – 不同的业务部门或产品可能有完全不同的目的和流程。可以建立个人账户来满足业务的特定需求。

  • 账单:账户是在账单层面上区分项目的唯一方法,包括传输费用等。多账户策略有助于在业务部门、职能团队或个人用户之间创建独立的应计费项目。

  • 配额分配 — AWS 配额是按账户设置的。将工作负载划分到不同的账户中,这样每个账户(如项目)都有一个明确定义的单独配额。

使用多个组织单位

AWS Control Tower 和其他账户编排框架可以进行跨账户边界的更改。因此, AWS 最佳实践涉及跨账户变更,这可能会破坏环境或破坏其安全性。在某些情况下,更改可能会影响整体环境,而不仅仅是策略。因此,我们建议您至少设置两个必备账户,即生产和暂存账户。

此外,出于管理和控制的目的, AWS 账户通常被分组为组织单位 (OUs)。 OUs 旨在跨多个账户执行策略。

我们的建议是,至少创建一个不同于生产环境的预生产(或暂存)环境,并且具有不同的控制措施和策略。生产环境和暂存环境可以单独创建和管理 OUs,也可以作为单独的账户计费。此外,您可能希望设置沙盒 OU 来进行代码测试。

在着陆区使用精心策划 OUs 的结构

AWS Control Tower 会自动 OUs 为您设置一些设置。随着工作负载和需求的不断扩大,您可以扩展原始的登录区配置,以满足您的需求。

注意

示例中给出的名称遵循设置多账户 AWS 环境的建议 AWS 命名约定。在设置了着陆区 OUs 后,您可以在 OU 详情页面上选择 “编辑” 来重命名您的着陆区。

建议

在 AWS Control Tower 为您设置了第一个必需的 OU(安全 OU)之后,我们建议您在着陆区 OUs 中再创建一些组织单位。

建议您允许 AWS Control Tower 再创建至少一个名为“沙盒 OU”的 OU。此 OU 适用于软件开发环境。如果您选择沙盒 OU,AWS Control Tower 可在创建登录区时为您设置该 OU。

建议 OUs 您自己设置另外两个组织结构:基础架构 OU,用于包含您的共享服务和网络帐户,以及用于包含生产工作负载的 OU,称为工作负载 OU。您可以通过组织单位页面上的 AWS Control Tower 控制台在着陆区域中添加其他 OUs 内容。

OUs 除了自动设置的之外,还推荐

  • 基础设施 OU - 包含您的共享服务和网络账户。

    注意

    AWS Control Tower 不会为您设置基础设施 OU。

  • 沙盒 OU - 一种软件开发 OU。例如,它可能有固定的支出限额,或者可能未连接到生产网络。

    注意

    AWS Control Tower 建议您设置沙盒 OU,但这是可选项。它可以在配置登录区时自动设置。

  • 工作负载 OU - 包含运行您的工作负载的账户。

    注意

    AWS Control Tower 不会为您设置工作负载 OU。

有关更多信息,请参阅 Production starter organization with AWS Control Tower

具有完整多账户 OU 结构的 AWS Control Tower 示例

AWS Control Tower 支持嵌套的 OU 层次结构,这意味着您可以创建一个满足组织要求的分层 OU 结构。您可以根据 AWS 多账户策略指南构建一个 AWS Control Tower 环境。

您还可以构建一个更简单、更扁平的 OU 结构,该结构性能良好,并且符合 AWS 多账户指南。您可以构建分层 OU 结构,但这并不意味着必须这样做。

链接页面上的图表显示, OUs 已经创建了更多基础 OUs 知识和更多其他内容。它们 OUs 可以满足更大规模部署的额外需求。

在 “基础 OUs ” 栏中,在基本结构中添加 OUs 了两个:

  • Security_Prod OU – 为安全策略提供只读区域,并提供“打碎玻璃”安全审计区域。

  • 基础架构 OU — 您可能希望将之前推荐的基础架构 OU 分为两个 OUs,即 Infrastructure_Test(用于预生产基础架构)和 Infrastructure_Prod(用于生产基础架构)。

在 “其他” OUs 区域中,基本结构中又添加 OUs 了几个。接下 OUs 来建议随着环境的增长创建以下内容:

  • 工作负载 OU — 以前推荐但可选的工作负载 OU 已分为两个 OUs,即 Workloads_Test(用于预生产工作负载)和 Workloads_Prod(用于生产工作负载)。

  • PolicyStaging OU — 允许系统管理员在完全应用控制和策略之前对其进行测试。

  • 已暂停的 OU - 为可能被临时禁用的账户提供一个位置。

关于根

根不是一个 OU,它是管理账户以及组织中所有账户 OUs和账户的容器。从概念上讲,Root 包含所有的。 OUs它无法被删除。您无法在根级别监管 AWS Control Tower 中已注册的账户,相反,应管理您内部的已注册账户 OUs。有关有用的图表,请参阅 AWS Organizations 文档