关注留言点赞，带你了解最流行的软件开发知识与最新科技行业趋势。

本文提供有关 AWS 多账户策略的信息，以及构建带引导视觉效果的着陆区所需的必要服务。

AWS 多账户策略是一种在组织内管理多个AWS账户的强大方法。它旨在帮助组织更有效地扩展和管理其云基础架构，同时保持安全性和合规性。在本文中，我们将探讨 AWS 多账户策略的关键组成部分，以及如何实施它以更好地控制和提高管理云资源的效率。

为什么要多账户？

• 安全控制：每个应用程序都可以有不同的安全控制，比如在同一组织内，PCI-DSS 将有与其他应用程序不同的安全控制。
• 隔离：隔离对于防止同一帐户中有多个应用程序可能产生的潜在风险和安全威胁至关重要。
• 许多团队：使用多个帐户可以防止团队干扰，因为具有不同职责和资源需求的团队是分开的。
• 数据隔离：将数据存储隔离到一个帐户，将数据的访问和管理限制在选定的少数人范围内，从而降低敏感信息未经授权暴露的风险。
• 业务流程：可以创建个人账户以满足特定业务需求，因为业务单位或产品通常具有不同的目的和流程。
• 计费：多账户方法允许跨业务部门、职能团队或个人用户创建不同的计费项目。
• 配额分配：每个账户（包括项目）都有明确定义的个人配额，因为 AWS 配额是按账户建立的。

设计OU结构

组织单位 (OU) 是组织中账户的逻辑分组，使用 AWS 组织创建。OU 使您能够将帐户组织到层次结构中，并使您更容易应用管理控制。AWS 组织策略是您用来应用此类控制的内容。服务控制策略 (SCP) 是定义 AWS 服务操作的策略。

构建此结构时，一个关键原则是减少管理结构的操作开销。为实现这一目标，我们最小化了整体层次结构的深度和应用策略的位置。例如，服务控制策略 (SCP) 主要应用于 OU 级别，而不是帐户级别，以简化故障排除。

SCP 用于实施适用于多个账户的组织政策，它们是在组织单位 (OU) 级别创建和应用的。通过使用 AWS 标记，您可以根据标签将策略应用于特定资源，这可以帮助您更有效地管理和保护资源。

下图说明了企业的常见 OU 结构。

设计中央防火墙和网络

许多 AWS 客户采用 AWS Control Tower 作为其多账户战略的关键部分，旨在实现业务敏捷性和集中治理。部署后，客户寻求利用 AWS Control Tower 的优势，例如创建安全且可扩展的网络架构，该架构可以与新账户和 VPC 无缝集成。

要实现可扩展的多账户、多 VPC 架构，客户可以使用 AWS Transit Gateway。他们还可以使用入口和出口VPC来控制通过 AWS 站点到站点 VPN 连接或 AWS Direct Connect 与互联网和本地网络的连接。这集中了网络治理和控制，因为所有网络需求都是从一个中央位置管理的：网络帐户。

这些组件是集成的，因此来自 VPC 的所有流量在发送到其最终目的地之前都被定向到 AWS 网络防火墙，无论是另一个 VPC、本地网络还是通过出口 VPC 的互联网。同样，所有通过入口VPC从 Internet 到 VPC 的流量都首先路由到 AWS 网络防火墙进行检查，然后再通过中转网关发送到目标 VPC。

下图说明了网络帐户中的中央检查防火墙。

身份和访问管理

AWS Federation 允许组织通过与 Okta、Azure AD 等身份提供商集成来简化用户管理、提高安全性并实现更轻松的审计和合规性。这种集成使用户能够使用一组凭据来访问 Azure 和 AWS 资源，同时还允许管理员根据他们的角色或工作职能控制用户对 AWS 资源的访问。

AWS 与 Azure 联合是一种使用户能够使用 Microsoft Azure Active Directory (Azure AD) 中的凭据访问 Amazon Web Services (AWS) 上的资源的方法。这种集成使组织能够为其用户提供无缝体验，用户可以使用一组凭据访问Azure和 AWS 资源。

集成涉及将 Azure AD 设置为 AWS 的身份提供者、配置角色和权限，以及测试配置以确保其按预期工作。通过将 Azure AD 用作 AWS SSO 的身份提供者，组织可以集中管理用户帐户并提高安全性，因为资源访问权限仅授予授权用户。

下图说明了 Azure AD 与 AWS 主账户的集成。

设计中央 DNS

Route 53 中的中央私有托管区域是在多个 AWS 账户之间共享的托管区域。它允许您创建一个单一的 DNS 命名空间，可以在您组织内的所有 VPC 和账户中使用。这意味着您可以使用相同的域名和 DNS 记录来引用不同账户或 VPC 中的资源，而无需创建重复的托管区域或配置跨账户访问。

要在 Route 53 中创建中央私有托管区域，您首先需要在您的一个 AWS 账户中创建托管区域。然后，您可以通过在 AWS Resource Access Manager (RAM) 中创建资源共享来与其他 AWS 账户共享托管区域。创建资源共享后，您可以邀请其他 AWS 账户加入资源共享，并为他们提供管理托管区域所需的权限。

您可以使用入站和出站解析器从任何本地 DNS 服务器发送和接收 DNS 流量。

下图说明了 AWS 中的中央 DNS 服务器。

基础设施自动化

基础架构即代码 (IaC) 是一种用于在代码中定义和管理基础架构和应用程序架构的方法。AWS CloudFormation 或 Terraform 可用于在代码中定义基础设施和应用程序架构，然后可以将其保存在 AWS CodeCommit、Git 等版本控制系统中。

要管理和编辑存储在 AWS CodeCommit 中的代码，请使用 AWS Cloud9，它提供了一个可以从任何地方访问的基于云的开发环境。

每当对 AWS CodeCommit 中的代码进行更改时，AWS CodeBuild 可用于自动构建代码。它可以编译、测试和打包代码。AWS CodeDeploy 可以配置为在 AWS CodeBuild 成功构建时自动将代码部署到基础设施。

要集成上述所有工具，请设置一个CI/CD管道，该管道使用 AWS CodePipeline 来自动化流程并使管理整个管道变得更加容易。AWS CodePipeline 允许您定义管道的阶段、每个阶段发生的操作以及启动每个阶段的触发器。

使用 AWS CloudFormation 或 Terraform 预置基础设施后，对已部署的应用程序运行集成测试以验证其功能。最后，使用 CI/CD 管道将应用程序部署到生产环境中，它可以根据预定义的规则或手动批准自动触发部署。

下图说明了 AWS 基础设施的 CI-CD。

此外，AWS Security Hub 和 AWS Config Rules 等 AWS 服务可自动执行安全检查并确保您的账户始终符合您的安全策略。

中央备份

中央备份可以通过多种方式实现，例如使用备份服务器或基于云的备份解决方案，如 AWS Backup。借助 AWS Backup，用户可以为多个账户和区域创建备份策略，并从单个 AWS 管理控制台集中管理它们。这种方法可确保备份策略的一致性和可靠性，同时简化管理并降低出错的可能性。

借助 AWS Backup，您可以为各种 AWS 资源（例如EBS卷、RDS 数据库、DynamoDB 表、EFS 文件系统等）自动执行备份计划、保留策略和数据生命周期管理。

要使用 AWS Backup 设置中央备份，您需要创建备份保管库、创建备份计划、为备份计划分配资源、监控备份并根据需要恢复数据。AWS Backup 提供整个 AWS 环境中备份活动的整合视图，让您更轻松地管理和监控备份。

下图说明了中央备份。

中央记录

AWS Central Logging 是一项服务，可让您收集、存储和分析 AWS 环境中各种资源生成的日志。它提供了一个用于存储日志的集中位置，授权用户可以访问和分析这些日志。

要使用 AWS Central Logging，您首先需要设置日志记录目的地，例如 Amazon S3 或 Amazon CloudWatch Logs。然后，您需要配置您的 AWS 资源以将它们的日志发送到 AWS Opensearch 等日志记录目的地。

将日志发送到日志记录目的地后，您可以使用 AWS Central Logging 来分析和查询日志。这可以帮助您解决问题、监控性能和检测安全威胁。

Amazon OpenSearch 是一项托管搜索和分析服务，可让您搜索、分析和可视化数据。它基于流行的Elasticsearch和 Kibana 开源软件，完全兼容 Elasticsearch API。

下图说明了 AWS 中的中央日志记录。

中央 Cloudwatch 监控

CloudWatch 提供您的 AWS 资源和应用程序性能的集中视图，使您能够监控 CPU 利用率、网络流量和数据库连接等指标。您还可以创建自定义指标来监控应用程序或服务的特定方面。

CloudWatch 还允许您监控您的资源和应用程序生成的日志，并提供在您的中央监控账户中实时搜索、分析和可视化日志的能力。这可以帮助您解决问题并确定应用程序或服务中的趋势。

结论

有效的 AWS 多账户策略可以帮助组织更好地管理其云资源，提供更好的控制、安全性和效率。通过仔细考虑帐户结构、IAM 策略、网络和连接、安全性和合规性以及成本管理，组织可以创建一个非常适合其特定需求的云环境。