COST02-BP03 实施账户结构
实施与组织对应的账户结构。这有助于在整个组织内分摊和管理成本。
在未建立这种最佳实践的情况下暴露的风险等级:高
实施指导
AWS Organizations 允许创建多个 AWS 账户,这有助于在扩展 AWS 上的工作负载时集中管理环境。可以通过在组织单位(OU)结构中分组 AWS 账户,并在每个 OU 下创建多个 AWS 账户,对组织层次结构进行建模。要创建账户结构,首先需要确定哪个 AWS 账户 将成为管理账户。之后,可以按照管理账户最佳实践和成员账户最佳实践,根据设计的账户结构创建新 AWS 账户 或选择现有账户作为成员账户。
建议无论组织规模或使用情况如何,始终至少有一个管理账户和一个与之链接的成员账户。所有工作负载资源应仅驻留在成员账户中,不应在管理账户中创建任何资源。对于您应该拥有多少个 AWS 账户 这一问题,没有标准答案。评测当前和未来的运营和成本模型,确保 AWS 账户 结构反映了组织的目标。有些公司出于业务原因会创建多个 AWS 账户,例如:
需要在组织部门、成本中心或特定工作负载之间实施管理或财务和计费隔离。
AWS 服务限制设置为针对特定工作负载。
必须对工作负载和资源进行隔离和分离。
在 AWS Organizations
通过整合账单,可以将多个成员 AWS 账户 的付款整合至一个管理账户下,同时仍可查看每个关联账户的活动。由于成本和使用情况在管理账户中汇总,因此,可以最大限度地提高服务量折扣,并最大限度地利用承诺折扣(节省计划和预留实例)来获得最高折扣。
下图显示了如何对组织单位(OU)使用 AWS Organizations,以对多个账户进行分组,并在每个 OU 下放置多个 AWS 账户。建议将 OU 用于各种应用场景和工作负载,这提供了组织账户的模式。
在组织单位下将多个 AWS 账户 分组的示例。
AWS Control Tower
实施步骤
-
定义分离要求:分离要求涉及多项因素,包括安全性、可靠性和财务结构。按顺序阐明每项因素,并详细说明工作负载或工作负载环境是否应与其他工作负载分开。安全性有助于满足访问和数据要求。可靠性管理限制,以便环境和工作负载不会影响其他项。定期查看 Well-Architected Framework 的安全性和可靠性支柱,并遵循提供的最佳实践。财务结构创建严格的财务分离(不同的成本中心、工作负载所有权和问责制)。常见的分离示例包括在单独的账户中运行生产和测试工作负载,或使用单独的账户,以便可以将发票和账单数据提供给组织中的单个业务单位或部门,或拥有该账户的利益相关方。
-
定义分组要求:分组要求并不覆盖分离要求,而是用于协助管理。将无需分离的类似环境或工作负载分组在一起。例如,将一个或多个工作负载的多个测试或开发环境分组在一起。
-
定义账户结构:使用这些分离和分组,为每个组指定一个账户,并确保持续满足分离要求。这些账户有成员账户或关联账户。通过将这些成员账户分组到一个管理账户或付款人账户下,可以合并使用量,从而可以跨所有账户享有更大的批量折扣,这为所有账户提供一个账单。可以分离账单数据,并为每个成员账户提供其账单数据的单独视图。如果成员账户不能让任何其他账户看到自己的使用情况或账单数据,或者,如果需要 AWS 提供单独的账单,请定义多个管理账户或付款人账户。在这种情况下,每个成员账户都有自己的管理账户或付款人账户。资源应始终放置在成员账户或关联账户中。管理账户或付款人账户应只用于管理。
资源
相关文档:
相关示例:
相关视频:
相关示例:
