# COST02-BP03 实施账户结构
实施与组织对应的账户结构。这有助于在整个组织内分摊和管理成本。
**在未建立这种最佳实践的情况下暴露的风险等级:**高
## 实施指导
AWS Organizations 允许创建多个 AWS 账户,这有助于在扩展 AWS 上的工作负载时集中管理环境。可以通过在组织单位(OU)结构中分组 AWS 账户,并在每个 OU 下创建多个 AWS 账户,对组织层次结构进行建模。要创建账户结构,首先需要确定哪个 AWS 账户 将成为管理账户。之后,可以按照[管理账户最佳实践](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html)和[成员账户最佳实践](https://docs.aws.amazon.com/organizations/latest/userguide/best-practices_member-acct.html),根据设计的账户结构创建新 AWS 账户 或选择现有账户作为成员账户。
建议无论组织规模或使用情况如何,始终至少有一个管理账户和一个与之链接的成员账户。所有工作负载资源应仅驻留在成员账户中,不应在管理账户中创建任何资源。对于您应该拥有多少个 AWS 账户 这一问题,没有标准答案。评测当前和未来的运营和成本模型,确保 AWS 账户 结构反映了组织的目标。有些公司出于业务原因会创建多个 AWS 账户,例如:
+ 需要在组织部门、成本中心或特定工作负载之间实施管理或财务和计费隔离。
+ AWS 服务限制设置为针对特定工作负载。
+ 必须对工作负载和资源进行隔离和分离。
在 [AWS Organizations](https://aws.amazon.com/organizations/) 内,[整合账单](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)会在一个或多个成员账户与管理账户之间创建结构。通过成员账户,可以按组隔离和区分成本和使用情况。常见做法是每个组织部门(如财务、营销和销售)、每个环境生命周期(如开发、测试和生产)或每个工作负载(工作负载 a、b 和 c)具有单独的成员账户,然后使用整合账单将这些关联账户汇总在一起。
通过整合账单,可以将多个成员 AWS 账户 的付款整合至一个管理账户下,同时仍可查看每个关联账户的活动。由于成本和使用情况在管理账户中汇总,因此,可以最大限度地提高服务量折扣,并最大限度地利用承诺折扣(节省计划和预留实例)来获得最高折扣。
下图显示了如何对组织单位(OU)使用 AWS Organizations,以对多个账户进行分组,并在每个 OU 下放置多个 AWS 账户。建议将 OU 用于各种应用场景和工作负载,这提供了组织账户的模式。
![\[树状图中显示了如何在组织单位下对多个账户进行分组。\]](http://docs.aws.amazon.com/zh_cn/wellarchitected/latest/framework/images/aws-organizations-ou-grouping.png)
[AWS Control Tower](https://aws.amazon.com/controltower/) 可以快速设置和配置多个 AWS 账户,确保治理符合组织要求。
**实施步骤**
+ **定义分离要求:**分离要求涉及多项因素,包括安全性、可靠性和财务结构。按顺序阐明每项因素,并详细说明工作负载或工作负载环境是否应与其他工作负载分开。安全性有助于满足访问和数据要求。可靠性管理限制,以便环境和工作负载不会影响其他项。定期查看 Well-Architected Framework 的安全性和可靠性支柱,并遵循提供的最佳实践。财务结构创建严格的财务分离(不同的成本中心、工作负载所有权和问责制)。常见的分离示例包括在单独的账户中运行生产和测试工作负载,或使用单独的账户,以便可以将发票和账单数据提供给组织中的单个业务单位或部门,或拥有该账户的利益相关方。
+ **定义分组要求:**分组要求并不覆盖分离要求,而是用于协助管理。将无需分离的类似环境或工作负载分组在一起。例如,将一个或多个工作负载的多个测试或开发环境分组在一起。
+ **定义账户结构:**使用这些分离和分组,为每个组指定一个账户,并确保持续满足分离要求。这些账户有成员账户或关联账户。通过将这些成员账户分组到一个管理账户或付款人账户下,可以合并使用量,从而可以跨所有账户享有更大的批量折扣,这为所有账户提供一个账单。可以分离账单数据,并为每个成员账户提供其账单数据的单独视图。如果成员账户不能让任何其他账户看到自己的使用情况或账单数据,或者,如果需要 AWS 提供单独的账单,请定义多个管理账户或付款人账户。在这种情况下,每个成员账户都有自己的管理账户或付款人账户。资源应始终放置在成员账户或关联账户中。管理账户或付款人账户应只用于管理。
## 资源
**相关文档:**
+ [使用成本分配标签](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)
+ [针对工作职能的 AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)
+ [AWS 多账户计费策略](https://aws.amazon.com/answers/account-management/aws-multi-account-billing-strategy/)
+ [使用 IAM 策略控制对 AWS 区域 的访问](https://aws.amazon.com/blogs/security/easier-way-to-control-access-to-aws-regions-using-iam-policies/)
+ [AWS Control Tower](https://aws.amazon.com/controltower/)
+ [AWS Organizations](https://aws.amazon.com/organizations/)
+ [管理账户](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html)和[成员账户](https://docs.aws.amazon.com/organizations/latest/userguide/best-practices_member-acct.html)的最佳实践
+ [使用多个账户整理您的 AWS 环境](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html)
+ [开启共享的预留实例和节省计划折扣](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ri-turn-on-process.html)
+ [整合账单](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)
+ [整合账单](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)
**相关示例:**
+ [拆分 CUR 并共享访问权限](https://wellarchitectedlabs.com/Cost/Cost_and_Usage_Analysis/300_Splitting_Sharing_CUR_Access/README.html)
**相关视频:**
+ [AWS Organizations 简介](https://www.youtube.com/watch?v=T4NK8fv8YdI)
+ [为 AWS Organizations 设置使用最佳实践的多账户 AWS 环境](https://www.youtube.com/watch?v=uOrq8ZUuaAQ)
**相关示例:**
+ [为电信公司定义 AWS 多账户策略](https://aws.amazon.com/blogs/industries/defining-an-aws-multi-account-strategy-for-telecommunications-companies/)
+ [Best Practices for Optimizing AWS 账户](https://aws.amazon.com/blogs/architecture/new-whitepaper-provides-best-practices-for-optimizing-aws-accounts/)
+ [Best Practices for Organizational Units with AWS Organizations](https://aws.amazon.com/blogs/mt/best-practices-for-organizational-units-with-aws-organizations/?org_product_gs_bp_OUBlog)