SEC01-BP01 使用帳戶分隔工作負載

透過多帳戶策略在環境 (例如生產、開發和測試) 與工作負載之間建立共通的防護機制和隔離。強烈建議帳戶層級的區隔，因為這在安全性、帳單和存取方面提供了有力的隔離界限。

預期成果：一種帳戶結構，可將雲端作業、不相關的工作負載和環境隔離為單獨的帳戶，從而提高整個雲端基礎設施的安全性。

常見的反模式：

將多個具有不同資料敏感度等級且不相關的工作負載置於相同的帳戶中。
定義不良的組織單位 (OU) 結構。

建立此最佳實務的優勢：

若工作負載遭到意外存取，縮小影響範圍。
AWS 對服務、資源和區域的存取進行集中管理。
利用政策以及集中管理安全服務，維護雲端基礎設施的安全性。
自動化帳戶建立和維護流程。
集中稽核您的基礎設施以滿足合規性和法規需求。

未建立此最佳實務時的風險暴露等級：高

實作指引

AWS 帳戶在在不同敏感層級操作的工作負載或資源之間提供安全隔離界限。 AWS 提供工具，透過多帳戶策略大規模管理雲端工作負載，以利用此隔離界限。如需在上多帳戶策略的概念、模式和實作指引 AWS，請參閱使用多個帳戶組織您的 AWS 環境。

當您在中央管理 AWS 帳戶下擁有多個時，您的帳戶應組織為由組織單位層（）定義的階層OUs。然後，安全控制可以組織並套用到 OUs和成員帳戶，為組織中的成員帳戶建立一致的預防性控制。安全控制是繼承的，讓您能夠篩選位於 OU 階層較低層級的成員帳戶可用的許可。良好的設計可利用此繼承關係來降低必要的安全政策數目和複雜度，達成每個成員帳戶預期的安全控制。

AWS Organizations 和 AWS Control Tower是兩項服務，可用於在您的 AWS 環境中實作和管理此多帳戶結構。 AWS Organizations 可讓您將帳戶組織到由一或多個層定義的階層OUs，每個 OU 都包含數個成員帳戶。服務控制政策（SCPs）允許組織管理員在成員帳戶上建立精細的預防性控制，AWS Config並可用於在成員帳戶上建立主動和偵測性控制。許多 AWS 服務與整合 AWS Organizations，以提供委派的管理控制，並跨組織中所有成員帳戶執行服務特定的任務。

在之上分層 AWS Organizations，為具有登陸區域的多帳戶 AWS 環境AWS Control Tower提供一鍵式最佳實務設定。該登陸區域是通往由 Control Tower 所建立之多帳戶環境的進入點。與 AWS Organizations相比，Control Tower 具有數個好處。提供改進的帳戶管控的三個優點是：

整合式強制性安全控制，會自動套用至獲准加入組織的帳戶。
可以為指定集開啟或關閉的選用控制項OUs。
AWS Control Tower Account Factory 會在您的組織中自動部署包含預先核准基準和組態選項的帳戶。

實作步驟

設計組織單位結構：設計合理的組織單位結構可減少建立及維護服務控制政策及其他安全性控制所需的管理負擔。您的組織單位結構應與業務需求、資料敏感度和工作負載結構保持一致。
為多帳戶環境建立登陸區域：登陸區域可提供一致的安全性和基礎設施基礎，您的組織可以從中快速開發、啟動和部署工作負載。可以使用自訂建置的登陸區域或 AWS Control Tower 來協調您的環境。
建立防護機制：透過登陸區域為您的環境實作一致的安全防護機制。 AWS Control Tower 提供可部署的強制性控制與選擇性控制清單。實作 Control Tower 時會自動部署強制性控制。檢閱強烈建議的控制和選擇性控制清單，並實作符合您需求的控制。
限制對新新增區域的存取：對於新 AWS 區域，使用者和角色等IAM資源只會傳播到您指定的區域。使用 Control Tower 時，可以透過主控台執行此動作，或在 IAM 中調整許可政策 AWS Organizations。
考慮 AWS CloudFormation StackSets： StackSets 協助您從核准的範本將資源，包括IAM政策、角色和群組部署到不同的 AWS 帳戶和區域。