企業採用多AWS賬戶策略,提供了最大數量的資源和足夠稱多的安全隔離
常見的多賬戶體系結構
- 身份賬戶體系結構 (Identity Account Architecture)
- 日誌賬戶體系結構(Logging Account Atchitecture)
- 發佈賬戶體系結構(Publishing Account Structure)
- 賬單結構(Billing Structure)
1 身份賬戶體系結構 (Identity Account Architecture)
在單一的中央區域對所有用戶進行集中管理,並允許他們訪問多個AWS賬戶下的不同的AWS資源
可以通過跨賬戶IAM角色和身份聯合來完成
1.1 單一的AWS賬戶發展多個,管理面臨的問題
1.2 中央身份賬戶體系
通過中央身份賬戶統一管理所有用戶,通過切換到其他AWS賬戶角色,訪問其他賬戶下資源
只需在身份賬戶爲開發者建立IAM賬戶,設置不同的訪問角色
2 日誌賬戶體系結構(Logging Account Atchitecture)
將所有賬戶所需日誌都存儲在一箇中心區域, 這個中心區域對日誌進行定期監控和分析
2.1 集中日誌管理注意事項
- 定義日誌保留的要求以及日誌生命週期策略
- 日誌生命週期策略自動化
- 自動安裝和配置日誌傳輸代理程序
- 支持混合雲架構
3 發佈賬戶體系結構(Publishing Account Structure)
這種架構對於希望集中管理整個企業預先批准的AMI及AWS CloudFormation模板的客戶
場景:對各開發團隊的開發工作,開發環境不統一
4 賬單結構(Billing Structure)
可以在一個主賬戶上追蹤整個企業的AWS子賬戶的賬單
統一賬戶支付 + 易於賬單追蹤 + 合併使用量 + 0功能使用費用
參考: AWS 解決方案架構師認證