企业采用多AWS账户策略,提供了最大数量的资源和足够称多的安全隔离
常见的多账户体系结构
- 身份账户体系结构 (Identity Account Architecture)
- 日志账户体系结构(Logging Account Atchitecture)
- 发布账户体系结构(Publishing Account Structure)
- 账单结构(Billing Structure)
1 身份账户体系结构 (Identity Account Architecture)
在单一的中央区域对所有用户进行集中管理,并允许他们访问多个AWS账户下的不同的AWS资源
可以通过跨账户IAM角色和身份联合来完成
1.1 单一的AWS账户发展多个,管理面临的问题
1.2 中央身份账户体系
通过中央身份账户统一管理所有用户,通过切换到其他AWS账户角色,访问其他账户下资源
只需在身份账户为开发者建立IAM账户,设置不同的访问角色
2 日志账户体系结构(Logging Account Atchitecture)
将所有账户所需日志都存储在一个中心区域, 这个中心区域对日志进行定期监控和分析
2.1 集中日志管理注意事项
- 定义日志保留的要求以及日志生命周期策略
- 日志生命周期策略自动化
- 自动安装和配置日志传输代理程序
- 支持混合云架构
3 发布账户体系结构(Publishing Account Structure)
这种架构对于希望集中管理整个企业预先批准的AMI及AWS CloudFormation模板的客户
场景:对各开发团队的开发工作,开发环境不统一
4 账单结构(Billing Structure)
可以在一个主账户上追踪整个企业的AWS子账户的账单
统一账户支付 + 易于账单追踪 + 合并使用量 + 0功能使用费用
参考: AWS 解决方案架构师认证