本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 管理组织单位 (OUs) 的最佳实践 AWS Organizations
请遵循以下建议,以帮助您完成 AWS Organizations 使用组织单位管理多账户环境的过程(OUs)。
**Topics**
+ [理解 AWS Organizations](#ous_best_practices_intro)
+ [推荐的基础知识 OUs](#ous_best_practices_foundational)
+ [推荐的额外内容 OUs](#ous_best_practices_recommended)
+ [结论](#ous_best_practices_conclusion)
## 理解 AWS Organizations
架构完善的多账户 AWS 环境的基础是 AWS Organizations,它使您能够集中管理和管理多个账户。组织单位 (OU) 是组织中账户的逻辑分组。 OUs 使您能够将帐户组织成层次结构,并帮助您应用管理控制。Or [ganizations 策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html)定义了您可以应用于一组的控制措施 AWS 账户。例如,[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCP) 是一种策略,用于定义组织中的账户可以执行的 AWS 服务 操作,例如 Amazon EC2 Run Instance。
虽然您可以从一个账户开始您的 AWS 旅程,但 AWS 建议您随着工作负载规模和复杂性的增加而设置多个帐户。使用多账户环境是一种 AWS 最佳实践,它可以带来以下好处:
+ **满足各种要求的快速创新**:您可以将资源分配 AWS 账户 给公司内的不同团队、项目或产品,以帮助确保他们每个人都能快速创新,同时满足自己的安全需求。
+ **简化计费**:使用倍数 AWS 账户 可以帮助确定哪个产品或服务系列负责 AWS 收费,从而简化 AWS 成本分摊方式。
+ **灵活的安全控制**:您可以使用多个 AWS 账户 来隔离具有特定安全要求或需要满足严格合规性准则(例如 HIPAA 或 PCI)的工作负载或应用程序。
+ **适应业务流程:您可以以**最能反映公司业务流程的不同需求的方式组织多个 AWS 账户 业务流程,这些业务流程具有不同的运营、监管和预算要求。
## 推荐的基础组织单位 () OUs
您的组织单位 (OUs) 应基于职能或常用控件集,而不是反映公司的报告结构。 AWS 建议您从安全性和基础架构入手。大多数企业都有集中式的团队来满足这些需求,为整个组织提供服务。我们建议 OUs 为这些特定功能创建一组基础知识:
+ **安全性**:用于安全服务。为日志存档、安全只读访问、安全工具和“打碎玻璃”程序分别创建账户。
+ **基础设施**:用于共享的基础设施服务,例如联网和 IT 服务。为您需要的每种基础设施服务分别创建账户。
鉴于大多数公司对生产工作负载有不同的策略要求,因此基础设施和安全性可以嵌套 OUs 于*非生产* (SDLC) 和*生产* (Prod)。SDLC OU 中的账户用于承载非生产工作负载,不应存在来自其他账户的生产依赖项。如果生命周期阶段之间的 OU 策略存在差异,则 SDLC 可以分为多个阶段 OUs (例如,开发阶段和预生产阶段)。Prod OU 中的账户用于承载生产工作负载。
根据您的要求在 OU 级别应用策略来管理 Prod 和 SDLC 环境。通常,在 OU 级别应用策略比在单个账户级别应用策略更好,因为这可以简化策略管理以及任何可能的问题排查。
下图显示了安全和基础架构的基础 OUs (Prod 和 SDLC):
![\[此图像显示了安全和基础架构的基础 OUs (Prod 和 SDLC)。\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/foundational-OUs.png)
## 建议增设组织单位 (OUs)
中央服务到位后,我们建议您创建 OUs 与构建或运行您的产品或服务直接相关的服务。许多 AWS 客户在建立基础 OUs 后构建了以下内容:
+ **沙盒**:个人开发者可以用来进行实验的 AWS 服务沙盒。 AWS 账户 确保这些账户可以与内部网络分离。
+ **工作负载**: AWS 账户 包含托管面向外部的应用程序服务的工作负载。您应该 OUs 在 SDLC 和 Prod 环境(类似于基础环境 OUs)下进行构建,以便隔离和严格控制生产工作负载。
我们还建议根据您的具体需求添加额外的 OUs 维护和持续扩展。以下是基于现有 AWS 客户实践的一些常见主题:
+ P@@ **olicy St** aging:持有 AWS 账户,您可以在其中测试提议的政策变更,然后将其广泛应用于组织。首先在计划的 OU 中实施账户级别的变更,然后慢慢地将变更应用到其他账户以及整个组织的其他部门。 OUs
+ 已@@ **暂停**: AWS 账户 已关闭并等待从组织中删除的内容。将某个会拒绝所有操作的 SCP 附加到此 OU。如果需要还原,请务必在账户上标记详细信息以实现可追溯性。
+ **个人企业用户**:一种受限访问的 OU,包含 AWS 账户 可能需要创建与业务生产力相关的应用程序的业务用户(非开发人员),例如设置 S3 存储桶以与合作伙伴共享报告或文件。
+ **例外**:暂挂 AWS 账户 用于具有高度定制的安全或审计要求的业务用例,这些要求与工作负载组织单位中定义的要求不同。例如, AWS 账户 专门为机密的新应用程序或功能设置一个。在账户 SCPs 级别使用,以满足定制需求。考虑使用 [Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) 和[AWS Config 规则](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)设置检测 EventBridge和反应系统。
+ **部署**:包含 AWS 账户 用于持续集成和持续的部署 delivery/deployment (CI/CD deployments). You can create this OU if you have a different governance and operational model for CI/CD deployments as compared to accounts in the Workloads OUs (Prod and SDLC). Distribution of CI/CD helps reduce the organizational dependency on a shared CI/CD environment operated by a central team. For each set of SDLC/Prod AWS 账户 对于工作负载 OU 中的应用程序,请在部署 OU CI/CD 下创建一个帐户。
+ **过渡**:在将现有账户和工作负载转移到临时暂存区域,然后再移动到组织的标准区域。这可能是因为账户是收购的一部分,以前由第三方管理,或者是旧组织结构中的旧账户。
下图显示了沙箱、工作负载、策略暂存、暂停、个人业务用户、异常、部署和过渡账户的其他 OUs 内容:
![\[此图像显示了沙箱、工作负载、策略暂存、暂停、个人业务用户、异常、部署和过渡账户的其他 OUs 信息。\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/additional-OUs.png)
## 结论
精心设计的多账户策略可以帮助您进行创新 AWS,同时有助于确保满足您的安全性和可扩展性需求。本主题中描述的框架代表了 AWS 最佳实践,您应该将其用作 AWS 旅程的起点。
下图显示了推荐的基础知识 OUs 和其他 OUs内容:
![\[此图像显示了推荐的基础 OUs 和其他 OUs内容。\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/recommended-OUs.png)