使用 管理組織單位 (OUs最佳實務 AWS Organizations - AWS Organizations
了解 AWS Organizations建議的基礎 OUs建議的額外 OUs結論

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 管理組織單位 (OUs最佳實務 AWS Organizations

遵循這些建議,協助您使用 AWS Organizations 組織單位 (OUs) 在 中管理多帳戶環境。

了解 AWS Organizations

架構良好的多帳戶 AWS 環境的基礎是 AWS Organizations,可讓您集中管理和管理多個帳戶。組織單位 (OU) 是組織中帳戶的邏輯分組。OUs可讓您將帳戶組織成階層,並協助您套用管理控制項。Organizations 政策會定義您可以套用至 群組的控制項 AWS 帳戶。例如,服務控制政策 (SCP) 是一種政策,定義組織中帳戶可執行 AWS 服務 的動作,例如 Amazon EC2 執行執行個體。

雖然您可能會使用單一帳戶開始 AWS 旅程,但 AWS 建議您隨著工作負載的大小和複雜性增加而設定多個帳戶。使用多帳戶環境是 AWS 最佳實務,可以提供數種好處:

  • 快速創新與各種需求:您可以將 配置 AWS 帳戶 給公司內不同的團隊、專案或產品,以協助確保每個團隊都能快速創新,同時允許自己的安全需求。

  • 簡化帳單:使用多個 AWS 帳戶 可簡化如何配置 AWS 成本,方法是協助識別哪些產品或服務項目需付費 AWS 。

  • 彈性安全控制:您可以使用多個 AWS 帳戶 來隔離具有特定安全需求的工作負載或應用程式,或需要符合 HIPAA 或 PCI 等嚴格合規準則。

  • 適應業務流程:您可以 AWS 帳戶 以最能反映公司業務流程多樣化需求的方式組織多個 ,這些業務流程具有不同的營運、法規和預算需求。

建議的基礎組織單位 OUs)

您的組織單位 OUs) 應該以函數或常見的控制集為基礎,而不是鏡射公司的報告結構。 AWS 建議您從安全和基礎設施開始。大多數企業都有集中式團隊,可針對這些需求為整個組織提供服務。我們建議為這些特定函數建立一組基礎 OUs:

  • 安全:用於安全服務。建立日誌封存、安全唯讀存取、安全工具和碎片的帳戶。

  • 基礎設施:用於共用基礎設施服務,例如聯網和 IT 服務。為您需要的每種基礎設施服務類型建立帳戶。

由於大多數公司對生產工作負載有不同的政策要求,基礎設施和安全性可以有非生產 (SDLC) 和生產 (Prod) 的巢狀 OUs。SDLC OU 中的帳戶託管非生產工作負載,不應具有來自其他帳戶的生產相依性。如果生命週期階段之間的 OU 政策存在變化,SDLC 可以分割成多個 OUs(例如,開發和預生產)。Prod OU 中的帳戶託管生產工作負載。

在 OU 層級套用政策,以根據您的需求控管 Prod 和 SDLC 環境。一般而言,在 OU 層級套用政策比個別帳戶層級更好,因為它簡化了政策管理和任何潛在的故障診斷。

下圖顯示安全性和基礎設施的基礎 OUs(Prod 和 SDLC):

此影像顯示安全性和基礎設施的基礎 OUs(Prod 和 SDLC)。

中央服務到位後,我們建議建立與建置或執行您的產品或服務直接相關的 OUs。許多 AWS 客戶在建立基礎之後建置下列 OUs:

  • 沙盒:保留個別開發人員可用來實驗 AWS 帳戶 的 AWS 服務。確保這些帳戶可以從內部網路分離。

  • 工作負載:包含 AWS 帳戶 託管面向外部的應用程式服務。您應該在 SDLC 和生產環境 (類似基礎 OUs) 下建構 OUs,以隔離和緊密控制生產工作負載。

我們也建議根據您的特定需求,新增額外的 OUs以進行維護和持續擴展。以下是根據現有 AWS 客戶實務的一些常見主題:

  • 政策預備:保留帳戶,您可以在 AWS 其中測試提議的政策變更,然後再將其廣泛套用至組織。首先,在預期 OU 的帳戶層級實作變更,然後慢慢地在其他帳戶、OUs 和整個組織中進行練習。

  • 已暫停:包含已關閉且正在等待從組織刪除 AWS 帳戶 的 。將 SCP 連接至此 OU,以拒絕所有動作。如果需要還原帳戶,請確保帳戶已加上可追蹤性的詳細資訊。

  • 個別商業使用者:包含 的有限存取權 OU, AWS 帳戶 適用於可能需要建立業務生產力相關應用程式的商業使用者 (而非開發人員),例如設定 S3 儲存貯體與合作夥伴共用報告或檔案。

  • 例外狀況: AWS 帳戶 用於具有高度自訂安全性或稽核需求的業務使用案例的保留,與工作負載 OU 中定義的保留不同。例如,針對機密的新應用程式或功能設定 AWS 帳戶 。在帳戶層級使用 SCPs 以滿足自訂需求。考慮使用 Amazon EventBridgeAWS Config 規則設定 Detect and React 系統。

  • 部署:包含適用於持續整合和持續交付/部署 (CI/CD 部署) 的 AWS 帳戶 。與工作負載 OU (Prod 和 SDLC) 中的帳戶相比,如果您有不同的 CI/CD 部署控管和操作模型,則可以建立此 OUs。CI/CD 的分佈有助於減少對中央團隊所操作之共用 CI/CD 環境的組織相依性。針對工作負載 AWS 帳戶 OU 中應用程式的每組 SDLC/Prod,在部署 OU 下建立 CI/CD 帳戶。

  • 轉換:在將現有帳戶和工作負載移至組織的標準區域之前,這會用作現有帳戶和工作負載的暫時保留區域。這可能是因為帳戶是取得的一部分、先前由第三方管理,或是舊組織結構中的舊版帳戶。

下圖顯示沙盒、工作負載、政策預備、暫停、個別商業使用者、例外狀況、部署和轉換帳戶的其他 OUs:

此影像顯示沙盒、工作負載、政策預備、暫停、個別商業使用者、例外狀況、部署和轉換帳戶的其他 OUs。

結論

架構良好的多帳戶策略可協助您創新 AWS,同時有助於確保您符合安全和可擴展性需求。本主題中描述的架構代表您應做為 AWS 旅程起點的 AWS 最佳實務。

下圖顯示建議的基礎 OUs和其他 OUs:

此影像會顯示建議的基礎 OUs和其他 OUs。