本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用多重的好处 AWS 账户
<a name="welcome-multiple-accounts"></a>

AWS 账户 构成了基础安全边界。 AWS 云它们作为资源的容器，提供了一个关键的隔离层，这对于创建安全、治理良好的环境至关重要。有关更多信息，请参阅 [什么是 AWS 账户？](accounts-welcome.md)。

将资源分成不同的资源 AWS 账户 有助于您在云环境中支持以下原则：
+ **安全控制**：不同的应用程序可能具有不同的安全配置文件，这些配置文件需要不同的控制策略和机制。例如，与审计师交谈并能够指向一个 AWS 账户 受[支付卡行业 (PCI) 安全标准](https://www.pcisecuritystandards.org/pci_security/)约束的工作负载的所有要素的审计员要容易得多。
+ **隔离**- AWS 账户 是安全保护的单位。应在 AWS 账户 不影响他人的情况下控制潜在的风险和安全威胁。由于采用不同的团队或不同的安全配置文件，可能会带来不同的安全需求。
+ **许多团队**：不同的团队有不同的职责和资源需求。您可以通过将团队移至分开 AWS 账户来防止他们互相干扰。
+ **数据隔离** – 除了隔离团队之外，将数据存储隔离到一个账户中也很重要。这有助于限制可以访问和管理该数据存储的人数。这有助于遏制高度私有数据的披露，因此有助于遵守[欧盟的《通用数据保护条例》（GDPR）](https://gdpr.eu)。
+ **业务流程** – 不同的业务单位或产品可能有完全不同的目的和流程。使用多个 AWS 账户，您可以支持业务部门的特定需求。
+ **账单** – 账户是在账单级别分开项目的唯一真正方式。多个账户有助于在账单级别上分开业务单位、职能团队或个人用户的项目。您仍然可以将所有账单合并为一个付款人（使用 AWS Organizations 和整合账单），同时将各行项目分 AWS 账户开。
+ **配额分配** — AWS 服务配额是分别为每个配额强制执行的 AWS 账户。将工作负载分成不同的 AWS 账户 可以防止它们相互占用配额。

本文中描述的所有建议和程序均符合 [AWS Well-Architected Framework](https://aws.amazon.com/architecture/well-architected)。该框架旨在帮助您设计灵活、有弹性且可扩展的云基础设施。即使您从小规模起步，我们也建议您按照框架中的指导推进。这样做可以帮助您安全地扩展环境，而不会随着企业成长而影响您的持续运营。

## 管理多个 AWS 账户
<a name="managing-multiple-accounts"></a>

在开始添加多个账户之前，您需要制定管理这些账户的计划。为此，我们建议您使用 [AWS Organizations](https://aws.amazon.com/organizations)，这是一项免费 AWS 服务，用于管理组织 AWS 账户 中的所有内容。

AWS 还提供了 AWS Control Tower，它为 Organizations 增加了多层 AWS 托管自动化，并自动将其与其他 AWS 服务（如 AWS CloudTrail、 AWS Config CloudWatch AWS Service Catalog、Amazon 等）集成。这些服务可能会产生额外费用。有关更多信息，请参阅[AWS Control Tower 定价](https://aws.amazon.com/controltower/pricing)。

### 另请参阅
<a name="w2aab9c13c11b7"></a>
+ [何时使用 AWS Organizations](using-orgs.md)
+ [何时使用 AWS Control Tower](when-to-use-control-tower.md)