本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 有关多账户环境的最佳实践
请遵循这些建议,帮助您完成在中设置和管理多账户环境的过程。 AWS Organizations
**Topics**
+ [账户和凭证](#orgs_best-practices-account-management)
+ [组织结构和工作负载](#orgs_best-practices-organization-structure)
+ [服务和成本管理](#orgs_best-practices-service-cost-management)
## 账户和凭证
### 启用根访问权限管理,简化成员账户的根用户凭证管理
建议您启用根访问权限管理,帮助监控和移除成员账户的根用户凭证。根访问权限管理可防止恢复根用户凭证,从而提高组织中的账户安全性。
+ 移除成员账户的根用户凭证,以防止登录到根用户。这也能防止成员账户恢复根用户。
+ 假设特权会话对成员账户执行以下任务:
+ 删除一项配置错误的存储桶策略,此策略拒绝所有主体访问 Amazon S3 存储桶策略。
+ 删除将会拒绝所有主体访问 Amazon SQS 队列的 Amazon Simple Queue Service 基于资源的策略。
+ 允许成员账户恢复其根用户凭证。有权访问该成员账户根用户电子邮件收件箱的人可以重置根用户密码,并以成员账户根用户身份登录。
启用根访问管理后,新创建的成员账户将没有根用户证书,这样就无需在配置后提供额外的安全保护,例如MFA。 secure-by-default
有关更多信息,请参阅《AWS Identity and Access Management 用户指南》**中的[集中成员账户的根用户凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management)。
### 确保更新联系电话号码
要恢复对您的访问权限 AWS 账户,请务必拥有一个有效且有效的联系电话号码,以便您能够接收短信或来电。我们建议您使用专用的电话号码,以确保该号码 AWS 可以联系您以获得账户支持和恢复资金。您可以通过 AWS 管理控制台 或账户管理轻松查看和管理您的账户电话号码 APIs。
有多种方法可以获取专用电话号码,以确保 AWS 可以与您联系。我们强烈建议您购买专用 SIM 卡和实体电话。妥善长期保管手机和 SIM 卡,确保电话号码始终可用于恢复账户。此外还应确保负责手机账单的团队了解该号码的重要性,即使该号码长期未使用。必须对您组织内的此电话号码保密,以加强保护。
在 AWS 联系信息控制台页面中记录电话号码,并与组织中必须知道该号码的特定团队共享其详细信息。这种方法可帮助尽可能减少将电话号码转移到其他 SIM 卡相关的风险。根据您现有的信息安全策略存储电话。但是,请勿将电话存储在与其他相关凭证信息相同的位置。对电话或其保管位置的任何访问都应记录和监控。如果与账户关联的电话号码发生变化,请根据相关流程更新现有文档中记录的电话号码。
### 为根用户使用组电子邮件地址
使用由您的企业管理的电子邮件地址。使用会收到的邮件直接转发到一组用户的电子邮件地址。例如,如果 AWS 必须联系账户所有者以确认访问权限,则电子邮件将分发给多方。这种方法有助于降低响应延迟的风险,即使个人在度假、生病或离开公司时也是如此。
## 组织结构和工作负载
### 在单个组织中管理账户
我们建议您创建单个组织,并在该组织中管理您的所有账户。组织是一种安全边界,可帮助确保您环境中的账户保持一致。您可以在一个组织中跨账户集中应用策略或服务级别配置。如果要在多账户环境中实现一致的策略、集中可见性和编程控制,则建议通过单个组织来实现。
### 根据业务目的而不是报告架构对工作负载进行分组
我们建议您将生产工作负载环境和数据隔离在面向工作负载的顶级工作负载 OUs下。您 OUs 应该基于一组通用的控制措施,而不是反映公司的报告结构。除了生产之外 OUs,我们建议您定义一个或多个非生产环境,其中 OUs 包含用于开发和测试工作负载的帐户和工作负载环境。有关其他指导,请参阅[组织面向工作负载 OUs](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-workload-oriented-ous.html)。
### 使用多个账户来整理工作负载
为您的 AWS 资源 AWS 账户 提供了自然的安全性、访问权限和计费界限。使用多个账户有很多好处,因为这样可以分配账户级别的限额和 API 请求速率限制,[其他好处](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/benefits-of-using-multiple-aws-accounts.html) 详见此处。我们建议您使用多个 [组织范围的基础账户](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/recommended-ous-and-accounts.html),例如安全账户、日志记录账户和基础设施账户。对于工作负载帐户,应将[生产工作负载与工作负载分开 test/development 存放在不同的账户中](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/design-principles-for-your-multi-account-strategy.html#separate-production-from-non-production-workloads)。
## 服务和成本管理
### 使用 AWS 服务控制台或 API/CLI 操作在组织层面启用服务
作为最佳实践,我们建议您 AWS Organizations 使用该服务的控制台或 API Operations/CLI 命令等效命令启用或禁用要与之集成的任何服务。使用此方法,该 AWS 服务可以为您的组织执行所有必需的初始化步骤,例如在禁用服务时创建任何必需的资源和清理资源。 AWS 账户管理 是唯一需要使用 AWS Organizations 控制台或启 APIs 用的服务。要查看与之集成的服务列表 AWS Organizations,请参阅[AWS 服务 你可以和它一起使用 AWS Organizations](orgs_integrate_services_list.md)。
### 使用计费工具跟踪成本并优化资源使用情况
管理组织时,您会收到一份包含组织中账户的所有费用的整合账单。如果需要访问成本可见性功能的业务用户,您可以在管理账户中提供一个角色,并为其提供查看账单和成本工具的受限只读权限。例如,您可以 [创建权限集](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtocreatepermissionset.html) 来提供账单报告的访问权限,也可以使用 AWS Cost Explorer Service (一种用于查看一段时间内成本趋势的工具)以及 [Amazon S3 Storage Lens 存储统计管理工具](https://aws.amazon.com/blogs/aws/s3-storage-lens/) 和 [AWS Compute Optimizer](https://aws.amazon.com/compute-optimizer/) 等成本效率管理服务。
### 制定标记策略并在组织资源中强制使用标签
随着账户和工作负载的扩展,利用标签可以有效地帮助跟踪成本、控制访问权限和整理资源。要了解标记命名策略,请按照为资源[添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)中的指导进行操作。 AWS 除资源外,您还可以在组织根目录 OUs、账户和策略上创建标签。有关更多信息,请参阅 [制定标记策略](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/building-your-tagging-strategy.html)。