管理组织单位 (OUs) 的最佳实践 AWS Organizations - AWS Organizations
理解 AWS Organizations推荐的基础知识 OUs推荐的额外内容 OUs结论

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理组织单位 (OUs) 的最佳实践 AWS Organizations

请遵循以下建议,以帮助您完成 AWS Organizations 使用组织单位管理多账户环境的过程(OUs)。

理解 AWS Organizations

架构完善的多账户 AWS 环境的基础是 AWS Organizations,它使您能够集中管理和管理多个账户。组织单位 (OU) 是组织中账户的逻辑分组。 OUs 使您能够将帐户组织成层次结构,并帮助您应用管理控制。Or ganizations 策略定义了您可以应用于一组的控制措施 AWS 账户。例如,服务控制策略 (SCP) 是一种策略,用于定义组织中的账户可以执行的 AWS 服务 操作,例如 Amazon EC2 Run Instance。

虽然您可以从一个账户开始您的 AWS 旅程,但 AWS 建议您随着工作负载规模和复杂性的增加而设置多个帐户。使用多账户环境是一种 AWS 最佳实践,它可以带来以下好处:

  • 满足各种要求的快速创新:您可以将资源分配 AWS 账户 给公司内的不同团队、项目或产品,以帮助确保他们每个人都能快速创新,同时满足自己的安全需求。

  • 简化计费:使用倍数 AWS 账户 可以帮助确定哪个产品或服务系列负责 AWS 收费,从而简化 AWS 成本分摊方式。

  • 灵活的安全控制:您可以使用多个 AWS 账户 来隔离具有特定安全要求或需要满足严格合规性准则(例如 HIPAA 或 PCI)的工作负载或应用程序。

  • 适应业务流程:您可以以最能反映公司业务流程的不同需求的方式组织多个 AWS 账户 业务流程,这些业务流程具有不同的运营、监管和预算要求。

推荐的基础组织单位 () OUs

您的组织单位 (OUs) 应基于职能或常用控件集,而不是反映公司的报告结构。 AWS 建议您从安全性和基础架构入手。大多数企业都有集中式的团队来满足这些需求,为整个组织提供服务。我们建议 OUs 为这些特定功能创建一组基础知识:

  • 安全性:用于安全服务。为日志存档、安全只读访问、安全工具和“打碎玻璃”程序分别创建账户。

  • 基础设施:用于共享的基础设施服务,例如联网和 IT 服务。为您需要的每种基础设施服务分别创建账户。

鉴于大多数公司对生产工作负载有不同的策略要求,因此基础设施和安全性可以嵌套 OUs 于非生产 (SDLC) 和生产 (Prod)。SDLC OU 中的账户用于承载非生产工作负载,不应存在来自其他账户的生产依赖项。如果生命周期阶段之间的 OU 策略存在差异,则 SDLC 可以分为多个阶段 OUs (例如,开发阶段和预生产阶段)。Prod OU 中的账户用于承载生产工作负载。

根据您的要求在 OU 级别应用策略来管理 Prod 和 SDLC 环境。通常,在 OU 级别应用策略比在单个账户级别应用策略更好,因为这可以简化策略管理以及任何可能的问题排查。

下图显示了安全和基础架构的基础 OUs (Prod 和 SDLC):

此图像显示了安全和基础架构的基础 OUs (Prod 和 SDLC)。

中央服务到位后,我们建议您创建 OUs 与构建或运行您的产品或服务直接相关的服务。许多 AWS 客户在建立基础 OUs 后构建了以下内容:

  • 沙盒:个人开发者可以用来进行实验的 AWS 服务沙盒。 AWS 账户 确保这些账户可以与内部网络分离。

  • 工作负载: AWS 账户 包含托管面向外部的应用程序服务的工作负载。您应该 OUs 在 SDLC 和 Prod 环境(类似于基础环境 OUs)下进行构建,以便隔离和严格控制生产工作负载。

我们还建议根据您的具体需求添加额外的 OUs 维护和持续扩展。以下是基于现有 AWS 客户实践的一些常见主题:

  • P@@ olicy St aging:持有 AWS 账户,您可以在其中测试提议的政策变更,然后将其广泛应用于组织。首先在计划的 OU 中实施账户级别的变更,然后慢慢地将变更应用到其他账户以及整个组织的其他部门。 OUs

  • 已@@ 暂停: AWS 账户 已关闭并等待从组织中删除的内容。将某个会拒绝所有操作的 SCP 附加到此 OU。如果需要还原,请务必在账户上标记详细信息以实现可追溯性。

  • 个人企业用户:一种受限访问的 OU,包含 AWS 账户 可能需要创建与业务生产力相关的应用程序的业务用户(非开发人员),例如设置 S3 存储桶以与合作伙伴共享报告或文件。

  • 例外:暂挂 AWS 账户 用于具有高度定制的安全或审计要求的业务用例,这些要求与工作负载组织单位中定义的要求不同。例如, AWS 账户 专门为机密的新应用程序或功能设置一个。在账户 SCPs 级别使用,以满足定制需求。考虑使用 AmazonAWS Config 规则设置检测 EventBridge和反应系统。

  • 部署:包含 AWS 账户 用于工作负载组织单元中应用程序delivery/deployment (CI/CD deployments). You can create this OU if you have a different governance and operational model for CI/CD deployments as compared to accounts in the Workloads OUs (Prod and SDLC). Distribution of CI/CD helps reduce the organizational dependency on a shared CI/CD environment operated by a central team. For each set of SDLC/Prod AWS 账户 的持续集成和持续运行,在部署组织单元下创建 CI/CD 帐户。

  • 过渡:在将现有账户和工作负载转移到临时暂存区域,然后再移动到组织的标准区域。这可能是因为账户是收购的一部分,以前由第三方管理,或者是旧组织结构中的旧账户。

下图显示了沙箱、工作负载、策略暂存、暂停、个人业务用户、异常、部署和过渡账户的其他 OUs 内容:

此图像显示了沙箱、工作负载、策略暂存、暂停、个人业务用户、异常、部署和过渡账户的其他 OUs 信息。

结论

精心设计的多账户策略可以帮助您进行创新 AWS,同时有助于确保满足您的安全性和可扩展性需求。本主题中描述的框架代表了 AWS 最佳实践,您应该将其用作 AWS 旅程的起点。

下图显示了推荐的基础知识 OUs 和其他 OUs内容:

此图像显示了推荐的基础 OUs 和其他 OUs内容。