建立您的最佳實務 AWS 環境

AWS 讓您能夠更快地進行實驗、創新和擴展，同時提供最靈活和最安全的雲端環境。AWS 確保您應用程式安全的一大關鍵在於 AWS 帳戶。AWS 帳戶為您的 AWS 資源提供天然的安全性、存取和計費界線，並讓您能夠實現資源獨立和隔離。例如，您帳戶之外的使用者預設無權存取您的資源。同樣，您取用的 AWS 資源成本會分配給您的帳戶。雖然您可以使用單一帳戶展開 AWS 之旅，但隨著工作負載規模和複雜性的增加，AWS 建議您設定多個帳戶。使用多帳戶環境是一項 AWS 最佳實務，可提供多種優勢：

• 滿足各種要求的快速創新 – 您可以將 AWS 帳戶分配給公司內的不同團隊、專案或產品，確保其能快速創新，同時滿足自身的安全要求。
• 簡化計費 – 使用多個 AWS 帳戶可協助確定哪個產品或服務系列負責 AWS 費用，從而簡化您分配 AWS 成本的方式。
• 靈活的安全控制 – 您可以使用多個 AWS 帳戶來隔離具有特定安全要求，或需要滿足嚴格的合規性指導方針 (例如 HIPAA 或 PCI) 的工作負載或應用程式。
• 輕鬆適應業務程序 – 您能夠以最能反映公司業務程序不同需求的方式輕鬆整理多個 AWS 帳戶，這些業務程序具有不同的營運、監管和預算要求。

最終，多帳戶 AWS 環境讓您能夠使用雲端，更快地移動並建置差異化產品和服務，同時確保您以安全、可擴展和具有彈性的方式來實現一切。但您應如何建置多帳戶 AWS 環境？ 您可能會有一些問題，例如要使用什麼帳戶結構、應實作哪些政策和防護機制，或者如何設定您的稽核環境。

本指南的其餘部分將引導您了解建置安全且高效的多帳戶 AWS 環境的要素 (通常稱為 AWS 推薦的「登陸區域」)。這代表了可用於建置初始架構的最佳實務，同時在您的 AWS 工作負載隨時間增加時仍可實現靈活性。

AWS Organizations 是建立 Well-Architected 多帳戶 AWS 環境的基礎，這是一項 AWS 服務，可讓您集中管理和管控多個帳戶。在開始之前，我們先來熟悉幾個術語。組織單位 (OU) 是 AWS Organizations 中帳戶的邏輯分組。OU 方便您將您的帳戶整理為階層，並且更容易套用管理控制。AWS Organizations 政策是您用於套用此類控制的工具。服務控制政策 (SCP) 是定義組織中帳戶可執行的 AWS 服務操作政策，如 Amazon EC2 對執行個體的執行。

首先，考慮您應建立哪些帳戶分組或 OU。您的 OU 應以功能或通用控制集為基礎，而不是反映您公司的報告結構。AWS 建議您應先考慮安全性和基礎設施。大多數企業都有集中的團隊來服務整個組織以滿足這類需求。因此，我們建議針對這些特定功能建立基礎 OU 集：

• 基礎設施：用於共享基礎設施服務，例如聯網和 IT 服務。針對您需要的每種基礎設施服務建立帳戶。
• 安全性：用於安全服務。針對日誌封存、安全唯讀存取、安全工具和緊急破壞式開關建立帳戶。

鑑於大多數公司對生產工作負載有不同的政策要求，基礎設施和安全性可以巢套於非生產 (SDLC) 和生產 (Prod) 的 OU。SDLC OU 中的帳戶託管非生產工作負載，因此不應具有來自其他帳戶的生產相依性。如果生命週期階段之間的 OU 政策存在差異，則 SDLC 可以拆分為多個 OU (例如開發和預生產)。Prod OU 中的帳戶託管生產工作負載。

根據您的要求，在 OU 層級套用政策來管理 Prod 和 SDLC 環境。一般來說，在 OU 層級套用政策比在個別帳戶層級套用會更好，因為其簡化了政策管理和任何潛在的疑難排解。

中央服務設置後，我們建議建立與建置或執行產品或服務直接相關的 OU。許多 AWS 客戶在建立基礎後會建置這些 OU。

• 沙盒：持有 AWS 帳戶，個別開發人員可以使用這些帳戶來實驗 AWS 服務。確保這些帳戶可與內部網路分離，並設定程序來限制支出以防止過度使用。
• 工作負載：包含託管面向外部的應用程式服務的 AWS 帳戶。您應在 SDLC 和 Prod 環境 (類似於基礎 OU) 下建置 OU，以便隔離和嚴格控制生產工作負載。
  

現在，基礎和面向生產的 OU 都已建立，我們建議根據您的特定需求新增額外的 OU 以進行維護和持續擴展。這些是基於現有 AWS 客戶實務的一些常見主題：

• 臨時政策：持有 AWS 帳戶，您可以在其中測試提議的政策變更，然後再將其廣泛運用於組織。首先在預期 OU 的帳戶層級實作變更，然後慢慢地在其他帳戶、OU 和整個組織的其他部分進行變更。
• 暫停：包含已關閉並等待從組織中刪除的 AWS 帳戶。將 SCP 連接到此 OU 以拒絕所有動作。如果需要還原帳戶，請確保帳戶已標記，並帶有可追溯性的詳細資訊。
• 個別企業使用者：包含 AWS 帳戶的有限存取 OU，適用於可能需要建立與業務生產力相關的應用程式的企業使用者 (非開發人員)，例如設定 S3 儲存貯體以便與合作夥伴共享報告或檔案。
• 例外狀況：持有 AWS 帳戶，用於具有高度客製化的安全或稽核要求的商業使用案例，不同於工作負載 OU 中定義的那些要求。例如，專門為機密的新應用程式或功能建立 AWS 帳戶。在帳戶層級使用 SCP 來滿足客製化需求。考慮使用 CloudWatch Events 和 AWS Config Rules 設定偵測和回應系統。
• 部署：包含適用於 CI/CD 部署的 AWS 帳戶。如果與工作負載 OU (Prod 和 SDLC) 中的帳戶相比，CI/CD 部署的管控和操作模型不同，則可以建立此 OU。CI/CD 的分佈有助於減少組織對由中央團隊營運的共享 CI/CD 環境的相依性。針對工作負載 OU 中應用程式的每組 SDLC/Prod AWS 帳戶，在部署 OU 下為 CI/CD 建立一個帳戶。
  
• 過渡：在將現有帳戶和工作負載移至組織的標準區域之前，此區域用作臨時保存區域。這可能是因為帳戶是收購的一部分，之前由第三方管理，或者是舊組織結構中的舊帳戶。 
  

Well-Architected 多帳戶政策可協助您在 AWS 中加速創新，同時確保滿足您的安全性和可擴展性需求。此頁面上描述的架構代表了 AWS 最佳實務，您應將其視為 AWS 旅程的起點。

若要開始使用，請參閱 AWS Organizations 入門指南，以建置您自己的多帳戶 AWS 環境。或者，您可以使用 AWS Control Tower，這樣只需按幾下即可快速設定安全的初始 AWS 環境。

• 白皮書：Organizing your AWS Environment
• 部落格文章：“Best practices for Organizational Units with AWS Organizations”
• 部落格文章：“Governance, risk, and compliance when establishing your cloud presence”
• AWS re:Invent 2019︰Architecting security & governance across your landing zone (SEC325) YouTube 或投影片
• AWS Organizations 常見問答集、文件和 API 參考
• AWS Control Tower 常見問答集和文件