亚马逊AWS官方博客
·
如何在 Landing Zone 中实现多账户管理战略
💡
原文中文,约3900字,阅读约需10分钟。
📝
内容提要
亚马逊云科技的Landing Zone服务为企业客户提供标准化和安全的基础环境,通过AWS Organizations实现多账户环境的管理和控制。多账户管理的最佳实践架构包括Management Account、Corporate OU、Core OU、Business OU、Production OU、Develop OU、Public workload OU、Internal workload OU和Confidential Workload OU。企业可以通过这些架构更好地管理和控制多账户环境。
🎯
关键要点
- 亚马逊云科技的Landing Zone服务为企业客户提供标准化和安全的基础环境。
- Landing Zone通过AWS Organizations支持多账户环境,解决单账户体系的不足。
- 多账户管理的设计原则包括层次结构设计、SCP继承、授权和拒绝策略、分阶段部署、例外管理、定期审查和测试验证。
- 多账户管理最佳实践架构包括Management Account、Corporate OU、Core OU、Business OU、Production OU、Develop OU、Public workload OU、Internal workload OU和Confidential Workload OU。
- Management Account用于创建和管理组织,Corporate OU用于集中附加服务控制策略。
- Core OU提供共享基础服务,Business OU用于部署业务相关工作负载。
- Production OU关注数据保护,Develop OU提供灵活的开发测试环境。
- Public workload OU支持面向互联网的工作负载,Internal workload OU支持内部工作负载,Confidential workload OU处理受限数据的工作负载。
- 通过合理规划OU结构和SCP,企业可以实现Landing Zone的治理管控要求。
❓
延伸问答
Landing Zone 的主要功能是什么?
Landing Zone 为企业客户提供标准化和安全的基础环境,支持多账户管理。
如何通过 AWS Organizations 实现多账户管理?
通过 AWS Organizations,企业可以创建多个 AWS 账户,划分职责边界,隔离资源,实现更好的管理和控制。
多账户管理的设计原则有哪些?
设计原则包括层次结构设计、SCP继承、授权和拒绝策略、分阶段部署、例外管理、定期审查和测试验证。
Management Account 在多账户管理中有什么作用?
Management Account 用于创建和管理组织,负责账户生命周期管理和集中付款。
什么是 Corporate OU,它的功能是什么?
Corporate OU 是一级组织单位,用于集中附加服务控制策略(SCP)基线,向下应用于所有嵌套的 OU 和账户。
如何确保多账户环境中的数据保护?
通过在 Production OU 中附加 SCP 策略,例如启用多重身份验证(MFA),来保护生产工作负载的数据。
➡️
