亚马逊AWS官方博客

如何在 Landing Zone 中实现多账户管理战略

随着越来越多企业客户使用亚马逊云科技的服务,Landing Zone(登录区)可为部署工作负载提供标准化和安全的基础环境。由于原有单账户体系无法满足复杂环境的需求(例如难以清晰划分职责边界、资源无法有效隔离、无法对不同部门独立计费和审计等),因此 Landing Zone 通过 AWS Organizations 为多账户环境提供了有力支持。实现不同的部门/团队、不同的环境(开发/测试/生产)使用不同的 AWS 账号,从而降低风险、实现职责分离、隔离资源以及减少人为故障的影响范围,而如何实现多账户管理战略成为大家关注的话题。

为了实现标准、安全、可扩展 Landing Zone 多账户管理,本文为企业客户提供了一个代表性的组织单元(Organization Unit,简称 OU)参考架构,并且提供了在多账户 AWS 环境中,建立治理和控制的思路。

1. 多账户管理设计原则

  • 层次结构设计:明确划分组织单位(OU)的边界,根据业务需求、合规性要求或地理位置等因素合理划分 OU。建立一个合理的 OU 层次结构可以更好地应用服务控制策略(SCP)。
  • SCP 继承:SCP 可以在根级别、组织单位或单个账户级别附加。注意到 SCP 具有继承性,子 OU 和成员账户将自动继承上层 OU 和根级别的 SCP 约束。因此,只需在合适的级别定义 SCP,避免重复配置。
  • 授权和拒绝策略:在设计 SCP 时,一般建议采用显式拒绝未授权操作的方式,而不是试图列举所有允许的操作。这种拒绝策略有助于降低错误风险,也更易于维护。
  • 分阶段部署:在大型组织中部署 SCP 时,建议分阶段推进。首先定义一组基本的 SCP,然后逐步添加更多限制,并根据需要对各个 OU 或账户应用更细化的策略。
  • 例外管理:为应对特殊情况,可以提供例外流程让管理员临时解除部分 SCP 限制。这种例外措施需要严格的审批和监控。
  • 定期审查:AWS 环境和需求会不断变化,因此需要定期审查现有 SCP,确保其保持有效性和合理性,并根据需求进行调整。
  • 测试和验证: 在正式环境中部署 SCP 之前,务必在测试环境中全面测试和验证新策略,以免影响生产系统的正常运行。通过遵循这些最佳实践,组织可以更有效地利用 AWS Organizations 服务控制策略来实现多账户环境下的治理、安全性和合规性管理。

2. 多账户管理最佳实践架构

在复杂的企业环境中,Landing Zone 通常采用多账户环境规划。图 1 提供了一个代表性的企业客户的 OU 参考架构。Management Account 是用于创建组织的 AWS 账户。通过 Management Account 可以管理组织中账户的生命周期,它也充当整个组织的付费账户。该账户可以将策略附加到组织中的实体,各级组织单元(OU)或账户。Orgnizations root 是 Orgnization 层次结构中的顶级父节点。根包含 Organization 中的所有 OU 和账户。

图 1:企业客户的 OU 参考架构

下面部分将解释企业客户 OU 结构层次。在项目中可以从这些参考开始,并灵活调整 OU 与 SCP 组合,以满足组织所需的控制和治理要求。

3. 多账户管理实现思路

3.1 Management Account

图 1 中,Organization root 是所有组织及账户的父容器。为了实现整个组织的管理工作,在 Organization root 下直接创建 Management Account,在图 1 中表示为 L0A,(这个账号不隶属任何 OU),用于管理整个组织,将执行以下的工作:

  • 在组织中创建/删除 OU 或账户
  • 邀请其他现有账户到组织中
  • 指定委托管理员账户
  • 建立策略并应用到组织内的实体(OU 或者账户)
  • 实现集中付款

3.2 Corporate OU

图 1 中,Corporate OU 被定义为 Level-1 级别 OU, 在图 1 中表示为 L1A。它是 Orgazization root 的直接子 OU,直接建立这个 OU 的优点是可以在一个集中位置附加该企业的服务控制策略(SCP)基线。应用于这个一级 OU 的所有 SCP 将向下应用到所有嵌套的 OU 和成员账户。注意,没有任何账户直接附加到这个 Corporate OU。

3.3 Core OU

图 1 中,Core OU 是 Corporate OU 的子 OU,被定义为 Level-2 级别 OU,表示为 L2A,提供 AWS Landing Zone 所需的共享基础服务。其下的账号可用于部署安全、日志存储、网络、AD、监控等共享服务。建立这个 OU 的优点是可在一个集中位置附加 SCP 策略,限定经批准的亚马逊云科技托管服务列表(允许列表/阻止列表),这些托管服务事先经过批准可以使用。同时考虑到共享的基础服务在变更投产前需要进行测试,因此在 Core OU 下还划分出 2 个子 OU:Production OU 与  Develop OU。

3.4 Business OU

图 1 中,Business OU 是 Corporate OU 的子 OU,被定义为 Level-2 级别 OU,表示为 L2B。其下的账号用于部署业务相关的各类工作负载应用。建立这个 OU 的优点是可在一个集中位置附加 SCP 策略,限定 Business OU 使用一个经批准的 AWS 服务列表(允许列表/阻止列表),这些服务事先经过批准可以使用。由于 Business OU 与 Core OU 的用途不同,因此他们列表内容会有很大区别。服务的批准可能取决于诸多因素,例如根据客户当前在 AWS 上部署的工作负载类型(如 Web 应用程序、存储、分析等)来批准服务。如果客户没有任何物联网工作负载,则可阻止 Business OU 使用物联网服务。同时企业客户可根据需要遵守的合规程序(如 SOC 或 PCI DSS)来批准服务。由于企业客户通常在投产前需要进行业务测试,在生产与测试环境管控方面会有所不同,因此在 Business OU 下还划分出 2 个子 OU:Production OU 与 Develop OU。

3.5 Production OU

图 1 中,Production OU 是 Business OU 的子 OU,被定义为 Level-3 级别 OU,表示为 L3A。数据保护是 Production OU 的一个关键考虑因素。对于生产环境,一个重要考虑是要求对数据进行分类,因为不同数据类型需要不同的控制措施。建立这个 OU 的优点是可在一个集中位置附加 SCP 策略进行数据保护,例如对任何资源删除操作启用多重身份验证(MFA),以保护生产工作负载。

3.6 Develop OU

图 1 中,Develop OU 是 Business OU 的子 OU,被定义为 Level-3 级别 OU,表示为 L3B。对于开发测试环境通常使用非生产数据,并不需要对数据进行严格管控。因此在一个集中位置附加更加灵活的 SCP 控制策略,以提升开发测试工作效率。

3.7 Public workload OU

图 1 中,Public workload OU 是 Production OU 的子 OU,被定义为 Level-4 级别 OU,表示为 L4A。Public workload OU 将支持面向互联网的工作负载。例如 Web/Email/Online Store 等互联网应用属于这一类别。

3.8 Internal workload OU

图 1 中,Internal workload OU 是 Production OU 的子 OU,被定义为 Level-4 级别 OU,表示为 L4B。Internal workload OU 将支持面向内部的工作负载。可以实施 SCP 来阻止为这些账户创建互联网接口,以减小暴露面。

3.9 Confidential Workload OU

图 1 中,Confidential workload OU 是 Production OU 的子 OU,被定义为 Level-4 级别 OU,表示为 L4C。Confidential workload OU 将支持受限数据的工作负载,这些数据一旦受到威胁或在未经授权的情况下被访问,可能会导致巨额法律罚款或给公司造成损害的应用。这些内部机密应用涉及法律、人力资源、企业战略、专有数据研究等数据。建议根据工作负载的敏感性在这些 OU 上设置额外的控制措施并配合使用相关的安全加密及用户认证服务。

4. 总结

在本文中总结了企业客户具有代表性的 Landing Zone 多账户管理战略设计与实现方式,通过层次化的 Organization Unit(OU)结构,并配合在多帐户 AWS 环境中服务控制策略(SCP)的合理规划,可以帮助实现公司 Landing Zone 治理管控要求。允许在组织内构建自定义策略来保护数据,应用不同的安全控制,并满足内部用户的需求。同时需要说明,在不同业务场景下,建议用户在当前参考架构基础上进行客户化调整,从而为企业上云 Landing Zone 设计打下良好的基础。

本篇作者

倪晓峻

亚马逊云科技客户解决方案经理,负责帮助客户加速云计算旅程,参与项目管理、咨询与设计工作,具有超过十五年以上企业客户服务经验。在企业级解决方案,混合云架构,运营集成等领域有着广泛的实践经验。在加入 AWS 之前曾任职 VMware;HP 专业服务团队,从事云计算/虚拟化架构设计及运维咨询工作。