AWS 账户管理和分离

我们建议您根据职能、合规性要求或一组通用控制措施，在单独的账户和组账户中组织工作负载，而不是完全沿用您企业的报告结构。在 AWS 中，账户是硬性边界。例如，强烈建议执行账户级分离，以使生产工作负载与开发和测试工作负载分离。

集中管理账户：AWS Organizations 会自动创建和管理 AWS 账户，并在创建之后控制这些账户。在通过 AWS Organizations 创建账户时，请务必考虑使用您的电子邮件地址，因为这将是允许重置密码的根用户。Organizations 允许您根据工作负载的要求和用途，将账户分组成代表不同环境的组织部门（OU）。

集中设置控制：在适当的级别，只允许特定的服务、区域和服务操作，以控制您的 AWS 账户能够执行的操作。AWS Organizations 允许您使用服务控制策略（SCP），在组织、组织部门或账户级别应用权限防护机制，此操作适用于所有 AWS Identity and Access Management（IAM）用户和角色。例如，您可以利用 SCP 禁止用户从您未明确允许的区域启动资源。AWS Control Tower 能够以一种简化的方式设置和管理多个账户。它会自动在您的 AWS Organization 中设置账户、自动预置、应用防护机制（包括预防和检测），并提供一个控制面板供您获得可见性。

集中配置服务和资源：AWS Organizations 可帮助配置能够应用于您所有账户的 AWS 服务。例如，您可以使用 AWS CloudTrail 配置集中日志记录功能，记录组织中执行的所有操作，也可以禁止成员账户禁用日志记录功能。您也可以使用 AWS Config 集中聚合自己定义的规则的数据，以便能够审计工作负载是否合规，并快速对变化做出反应。AWS CloudFormationStackSets 允许您在组织中跨账户和组织部门集中管理 AWS CloudFormation 堆栈。这样，您就可以自动预置一个新账户来满足自己的安全要求。

使用安全服务的委托管理功能，将用于管理的账户与组织计费（管理）账户分隔开。多项 AWS 服务（例如，GuardDuty、Security Hub 和 AWS Config）支持与 AWS Organizations 的集成，包括为管理功能指定特定的账户。