使用 AWS Organizations 管理组织单位(OU)的最佳实践 - AWS Organizations
了解 AWS Organizations建议的基础 OU建议的其他 OU结论

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 AWS Organizations 管理组织单位(OU)的最佳实践

以下建议有助于指导您在 AWS Organizations 中使用组织单位(OU)管理多账户环境。

了解 AWS Organizations

Well-Architected 的多账户 AWS 环境以 AWS Organizations 为基础,让您能够集中管理和管理多个账户。组织单元(OU)是组织中账户的逻辑分组。OU 使您能够将账户按层次结构进行组织,并帮助您应用管理控制。Organizations 策略定义了您可以应用于一组 AWS 账户的控制措施。例如,服务控制策略(SCP)用于定义组织中的账户可以执行的AWS 服务操作,例如 Amazon EC2 运行实例。

虽然您可以从单个账户开始 AWS 旅程,但 AWS 建议您随着工作负载规模和复杂性的增加设置多个账户。使用多账户环境是一种 AWS 最佳实践,具有以下几个方面的优势:

  • 能够根据各种需求快速创新:您可以将 AWS 账户分配给公司内的不同团队、项目或产品,以帮助确保每个人都能快速创新,同时满足自己的安全要求。

  • 简化账单:使用多个 AWS 账户有助于确定对一项 AWS 负责的具体产品或服务线,从而简化 AWS 成本分摊方式。

  • 实现灵活的安全控制:您可以使用多个 AWS 账户来隔离具有特定安全要求的工作负载,或者需要符合 HIPAA 或 PCI 等严格合规性准则(例如 HIPAA 或 PCI)的应用程序。

  • 适应业务流程的要求:公司的业务流程有多元化的需求,有不同的运营、监管和预算要求,您可以按照最适合这些需求的方式来组织多个 AWS 账户。

建议的基础组织单位(OU)

您的组织单位(OU)应基于职能或通用的控制措施,而不是贵公司的报告架构。AWS 建议您以安全性和基础设施为起点。大多数企业都有集中式的团队来满足这些需求,为整个组织提供服务。我们建议为以下特定职能创建一组基础 OU:

  • 安全性:用于安全服务。为日志存档、安全只读访问、安全工具和“打碎玻璃”程序分别创建账户。

  • 基础设施:用于共享的基础设施服务,例如联网和 IT 服务。为您需要的每种基础设施服务分别创建账户。

鉴于大多数公司对生产工作负载有不同的策略要求,因此基础设施和安全部门可以为非生产(SDLC)和生产(Prod)环境设置嵌套 OU。SDLC OU 中的账户用于承载非生产工作负载,不应存在来自其他账户的生产依赖项。如果不同生命周期阶段的 OU 策略存在差异,则可以将 SDLC 拆分为多个 OU(例如,开发和预生产)。Prod OU 中的账户用于承载生产工作负载。

根据您的要求在 OU 级别应用策略来管理 Prod 和 SDLC 环境。通常,在 OU 级别应用策略比在单个账户级别应用策略更好,因为这可以简化策略管理以及任何可能的问题排查。

下图展示了用于安全和基础设施的基础 OU(Prod 和 SDLC):

此图展示了用于安全和基础设施的基础 OU(Prod 和 SDLC)。

中央服务准备妥当后,我们建议您创建与构建或运行产品或服务直接相关的 OU。许多 AWS 客户在建立基础 OU 后会创建以下 OU:

  • 沙盒:承载个人开发者可以使用 AWS 服务来进行实验的 AWS 账户。确保这些账户可以与内部网络分离。

  • 工作负载:包含承载面向外部的应用程序服务的 AWS 账户。您应在 SDLC 和 Prod 环境(类似于基础 OU)下搭建 OU 结构,以便隔离和严格控制生产工作负载。

我们还建议您根据自己的特定需求添加其他 OU 以满足维护和持续扩张的需要。以下是基于现有 AWS 客户实践的一些常见主题:

  • 策略暂存:承载可用于对提议的策略更改进行测试,然后再广泛应用于组织的 AWS 账户。首先在计划的 OU 中实施账户级别更改,然后逐步推广到其他账户、OU 以及整个组织的其他部门。

  • 已暂停:包含已经注销并等待从组织中删除的 AWS 账户。将某个会拒绝所有操作的 SCP 附加到此 OU。如果需要还原,请务必在账户上标记详细信息以实现可追溯性。

  • 单个业务用户:一种访问权限受限的 OU,其中包含的 AWS 账户针对可能需要创建业务生产力相关应用程序的业务用户(非开发人员),例如设置 S3 存储桶以与合作伙伴共享报告或文件。

  • 例外:承载的 AWS 账户用于具有高度定制安全或审计要求的业务应用场景,其要求与工作负载 OU 中定义的要求不同。例如,专门为机密的新应用程序或功能设置一个 AWS 账户。在账户级别使用 SCP 来满足定制需求。可考虑使用 Amazon EventBridgeAWS Config 规则来设置检测和反应系统。

  • 部署:包含用于持续集成和持续交付/部署(CI/CD 部署)的 AWS 账户。如果您的 CI/CD 部署管理和运营模式与工作负载 OU(Prod 和 SDLC)中的账户不同,则可以创建此 OU。分布式 CI/CD 有助于减少组织对由中央团队运营的共享 CI/CD 环境的依赖。对于工作负载 OU 中应用程序的每组 SDLC/Prod AWS 账户,请在部署 OU 下为 CI/CD 创建一个账户。

  • 过渡:在将现有账户和工作负载转移到临时暂存区域,然后再移动到组织的标准区域。这可能是因为账户是收购的一部分,以前由第三方管理,或者是旧组织结构中的旧账户。

下图展示了用于沙盒、工作负载、策略暂存、已暂停、单个业务用户、异常、部署和过渡账户的其他 OU:

此图展示了用于沙盒、工作负载、策略暂存、已暂停、单个业务用户、异常、部署和过渡账户的其他 OU。

结论

Well-Architected 多账户策略有助您在 AWS 中进行创新,同时确保满足您的安全性和可扩展性需求。本主题中介绍的框架代表了 AWS 最佳实践,您应该将此作为 AWS 旅程的起点。

下图展示了建议的基础 OU 和其他 OU:

此图展示了建议的基础 OU 和其他 OU。