本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS AWS Control Tower 登陸區域的多帳戶策略
AWS Control Tower 客戶通常會尋求有關如何設定 AWS 環境和帳戶以獲得最佳結果的指導。AWS 已建立一組統一的建議,稱為多帳戶策略,以協助您充分利用 AWS 資源,包括 AWS Control Tower 登陸區域。
基本上,AWSControl Tower 可做為與其他 AWS 服務搭配使用的協調層,協助您實作 和 AWS 帳戶的 AWS 多帳戶建議 AWS Organizations。設定登陸區域後,AWSControl Tower 會繼續協助您在多個帳戶和工作負載中維護公司政策和安全實務。
大多數登陸區域會隨著時間發展。隨著 AWS Control Tower 登陸區域中的組織單位 (OUs) 和帳戶數量增加,您可以協助有效組織工作負載的方式擴展 AWS Control Tower 部署。本章提供如何規劃和設定 AWS Control Tower 登陸區域的規範性指導,以符合 AWS 多帳戶策略,並隨時間擴展。
如需組織單位最佳實務的一般討論,請參閱使用 的組織單位最佳實務 AWS Organizations
AWS 多帳戶策略:最佳實務指引
AWS 架構良好的環境最佳實務建議您將資源和工作負載分隔成多個 AWS 帳戶。您可以將 AWS 帳戶視為隔離的資源容器:它們提供工作負載分類,以及在發生錯誤時減少爆量半徑。
- AWS 帳戶的定義
-
AWS 帳戶充當資源容器和資源隔離界限。
注意
AWS 帳戶與使用者帳戶不同,該帳戶是透過聯合或 AWS Identity and Access Management () 設定IAM。
AWS 帳戶詳細資訊
AWS 帳戶可讓您隔離資源,並包含 AWS 工作負載的安全威脅。帳戶也提供用於計費和管理工作負載環境的機制。
AWS 帳戶是為您的工作負載提供資源容器的主要實作機制。如果您的環境架構良好,您可以有效管理多個 AWS 帳戶,因此管理多個工作負載和環境。
AWS Control Tower 會設定架構良好的環境。它倚賴 AWS 帳戶,這 AWS Organizations有助於管理可跨多個帳戶擴展的環境變更。
- 架構良好的環境定義
-
AWS 將架構良好的環境定義為以登陸區域開頭的環境。
AWS Control Tower 提供自動設定的登陸區域。它會強制執行控制,以確保在您環境中的多個帳戶中遵循您的公司準則。
- 登陸區域的定義
-
登陸區域是提供建議起點的雲端環境,包括預設帳戶、帳戶結構、網路和安全配置等。從登陸區域,您可以部署利用解決方案和應用程式的工作負載。
設定良好架構環境的指導方針
建構良好的環境的三個關鍵元件,如以下章節所述:
-
多個 AWS 帳戶
-
多個組織單位 (OUs)
-
規劃良好的結構
使用多個AWS帳戶
一個帳戶不足以設定架構良好的環境。透過使用多個帳戶,您可以最佳地支援您的安全目標和業務流程。以下是使用多帳戶方法的一些好處:
-
安全控制 – 應用程式有不同的安全設定檔,因此需要不同的控制政策和機制。例如,與稽核人員交談,並指向託管支付卡產業 (PCI) 工作負載的單一帳戶會更為容易。
-
隔離 – 帳戶是安全保護的單位。帳戶中可以包含潛在風險和安全威脅,而不會影響其他人。因此,安全需求可能需要您彼此隔離帳戶。例如,您可能擁有具有不同安全設定檔的團隊。
-
許多團隊 – 團隊有不同的責任和資源需求。透過設定多個帳戶,團隊就無法互相干擾,因為他們在使用相同帳戶時可能會相互干擾。
-
資料隔離 – 將資料存放區隔離到 帳戶有助於限制可存取資料並可管理資料存放區的人數。此隔離有助於防止高度私有資料的未經授權暴露。例如,資料隔離有助於支援遵循一般資料保護法規 (GDPR)。
-
業務流程 – 業務單位或產品通常具有完全不同的目的和流程。您可以建立個別帳戶,以滿足業務特定需求。
-
帳單 – 帳戶是在帳單層級分隔項目的唯一方法,包括轉移費用等。多帳戶策略有助於跨業務單位、職能團隊或個別使用者建立個別的計費項目。
-
配額分配 – AWS 配額是根據每個帳戶設定。將工作負載分成不同的帳戶,可讓每個帳戶 (例如專案) 獲得定義明確的個別配額。
使用多個組織單位
AWS Control Tower 和其他帳戶協調架構可以進行跨帳戶界限的變更。因此, AWS 最佳實務可處理跨帳戶變更,這可能會破壞環境或破壞其安全性。在某些情況下,除了政策之外,變更可能會影響整體環境。因此,我們建議您至少設定兩個強制性帳戶:生產和預備。
此外,基於控管和控制目的, AWS 帳戶通常會分組為組織單位 (OUs)。 OUs 旨在處理多個帳戶間政策的強制執行。
我們建議至少要建立預生產 (或預備) 環境,其與您的生產環境不同,並具有不同的控制和政策。生產和預備環境可以建立和管理為個別 OUs,並以個別帳戶計費。此外,您可能想要設定沙盒 OU 進行程式碼測試。
OUs在您的登陸區域中使用 的規劃良好的結構
AWS Control Tower 會自動OUs為您設定一些 。隨著工作負載和需求隨著時間擴展,您可以擴展原始登陸區域組態,以符合您的需求。
注意
範例中提供的名稱遵循建議的 AWS 命名慣例來設定多帳戶 AWS 環境。您可以在設定登陸區域OUs後,透過在 OU 詳細資訊頁面上選取編輯,重新命名您的 。
建議
在 AWS Control Tower 為您設定第一個必要的 OU 之後,我們建議您OUs在登陸區域中建立一些額外的 OU。
我們建議您允許 AWS Control Tower 建立至少一個額外的 OU,稱為沙盒 OU。此 OU 適用於您的軟體開發環境。 AWS如果選取,Control Tower 可以在登陸區域建立期間為您設定沙盒 OU。
您可以自行OUs設定兩個建議的其他項目:基礎設施 OU、包含共用服務和聯網帳戶,以及包含生產工作負載的 OU,稱為工作負載 OU。您可以透過組織單位頁面上的 AWS Control Tower 主控台OUs,在您的登陸區域中新增其他 。
OUs 除了自動設定之外,建議
-
基礎設施 OU – 包含您的共用服務和聯網帳戶。
注意
AWS Control Tower 不會為您設定基礎設施 OU。
-
沙盒 OU – 軟體開發 OU。例如,它可能有固定的支出限制,也可能未連線到生產網路。
注意
AWS Control Tower 建議您設定沙盒 OU,但這是選用的。它可以自動設定,做為設定登陸區域的一部分。
-
工作負載 OU – 包含執行工作負載的帳戶。
注意
AWS Control Tower 不會為您設定工作負載 OU。
如需詳細資訊,請參閱使用 AWS Control Tower 的生產入門組織。
具有完整多帳戶 OU 結構的 AWS Control Tower 範例
AWS Control Tower 支援巢狀 OU 階層,這表示您可以建立符合組織需求的階層式 OU 結構。您可以建置 AWS Control Tower 環境以符合 AWS 多帳戶策略指引。
您也可以建置更簡單、平坦的 OU 結構,其效能良好,並符合 AWS 多帳戶指引。只是因為您可以建置階層式 OU 結構,並不表示您必須這麼做。
-
若要檢視圖表,其中顯示具有 AWS 多帳戶指導OUs的擴展、平面 AWS Control Tower 環境中的 範例集,請參閱範例:平面 OU 結構中的工作負載。
-
如需 AWS Control Tower 如何搭配巢狀 OU 結構運作的詳細資訊,請參閱 巢狀OUs於 AWS Control Tower。
-
如需 AWS Control Tower 如何與 AWS 指南保持一致的詳細資訊,請參閱 AWS 白皮書:使用多個帳戶組織您的 AWS 環境。
連結頁面上的圖表顯示OUs已建立更多基礎OUs和更多其他。這些可OUs滿足大型部署的其他需求。
在基礎資料OUs欄中,OUs有兩個已新增至基本結構:
-
Security_Prod OU – 提供安全政策的唯讀區域,以及破舊安全稽核區域。
-
基礎設施 OU – 您可能希望將先前建議的基礎設施 OU 分成兩個 OUs,即 Infrastructure_Test (適用於生產前基礎設施) 和 Infrastructure_Prod (適用於生產基礎設施)。
在 額外 OUs區域中,OUs已將其他數個項目新增至基本結構。接下來建議隨著環境的成長OUs建立以下項目:
-
工作負載 OU – 先前建議但選用的工作負載 OU 已分成兩個 OUs:Workloads_Test (適用於生產前工作負載) 和 Workloads_Prod (適用於生產工作負載)。
-
PolicyStaging OU – 允許系統管理員在完全套用控制項和政策之前測試其變更。
-
已暫停的 OU – 為可能暫時停用的帳戶提供位置。
關於根目錄
根不是 OU。它是管理帳戶的容器,也是組織中所有 OUs和 帳戶的容器。概念上,根包含所有 OUs。無法刪除。您無法在 AWS Control Tower 的根層級管理已註冊的帳戶。反之, 會控管您 內的註冊帳戶OUs。如需實用圖表,請參閱 AWS Organizations 文件。
