muaguirre/aws-multi-account-organization

GitHub: muaguirre/aws-multi-account-organization

该项目提供了一套基于 AWS Organizations 和 Terraform 的多账户架构方案,解决云环境下的治理、安全隔离与成本管控问题。

Stars: 0 | Forks: 0

# AWS 多账户组织架构 ## 概述 本项目展示了一种使用 **AWS Organizations** 的多账户云架构。 其目标是通过将工作负载分离到多个账户中、应用集中化的安全控制,以及通过合并账单提高成本可见性,从而设计一个安全、可扩展且治理完善的 AWS 环境。 ## 架构目标 - 使用不同的 AWS 账户分离环境。 - 通过 AWS Organizations 实现集中化治理。 - 跨账户应用 Service Control Policies。 - 通过减小影响范围来提升安全性。 - 集中化日志记录和安全监控。 - 通过合并账单控制成本。 - 限制资源仅部署在批准的 AWS 区域内。 - 使用 Infrastructure as Code 定义组织结构。 ## 建议的账户结构 ``` AWS Organizations │ ├── Management Account │ ├── Security OU │ ├── Security Account │ └── Log Archive Account │ ├── Infrastructure OU │ └── Shared Services Account │ └── Workloads OU ├── Development Account ├── Testing Account └── Production Account ``` ## 仓库结构 ``` aws-multi-account-organization/ │ ├── architecture/ │ └── organization-diagram.md │ ├── docs/ │ └── implementation-guide.md │ ├── policies/ │ ├── deny-root-user-scp.json │ └── restrict-regions-scp.json │ ├── terraform/ │ ├── main.tf │ ├── organizational-units.tf │ ├── accounts.tf │ └── scp.tf │ ├── LICENSE └── README.md ``` ## 使用的 AWS 服务 - AWS Organizations - Service Control Policies - AWS Identity and Access Management - AWS CloudTrail - AWS Config - AWS Security Hub - Amazon GuardDuty - AWS Billing and Cost Management ## Terraform 基础设施即代码 本项目包含 Terraform 示例文件,以 Infrastructure as Code 的形式定义 AWS Organizations 结构。 包含的 Terraform 文件: ``` terraform/ ├── main.tf ├── organizational-units.tf ├── accounts.tf └── scp.tf ``` Terraform 配置定义了: - AWS Organizations 设置。 - 用于安全、基础设施和工作负载的 Organizational Units。 - 每个环境的示例 AWS 账户。 - Service Control Policies。 - SCP 到 Organizational Units 的附加。 ## 包含的 Service Control Policies 本项目包含用于治理和安全的示例 SCP。 ### 拒绝 Root User 操作 文件: ``` policies/deny-root-user-scp.json ``` Terraform 等效配置: ``` terraform/scp.tf ``` 目的: - 防止日常使用 AWS root user。 - 降低安全风险。 - 实施更好的身份管理实践。 ### 限制 AWS 区域 文件: ``` policies/restrict-regions-scp.json ``` Terraform 等效配置: ``` terraform/scp.tf ``` 目的: - 拒绝在批准的欧洲 AWS 区域之外部署资源。 - 减少意外产生的费用。 - 支持合规性和治理要求。 ## 安全优势 此架构通过以下方式提升云安全性: - 隔离生产、测试和开发环境。 - 将日志集中到专用账户中。 - 应用带有 SCP 的预防性控制。 - 减轻凭据泄露造成的影响。 - 避免在 Management Account 中运行工作负载。 - 通过 Infrastructure as Code 管理治理控制。 ## 成本管理优势 此架构通过以下方式改善成本管理: - 使用合并账单。 - 按环境分离成本。 - 提高跨账户的可见性。 - 支持按账户设置预算和警报。 - 减少在未批准区域内的未经授权部署。 ## 文档 详细文档可在此处获取: - [实施指南](docs/implementation-guide.md) - [架构图](architecture/organization-diagram.md) ## 项目状态 这是一个作品集项目,旨在展示对 AWS Organizations、多账户治理、安全控制、Infrastructure as Code 以及云架构最佳实践的知识储备。 ## 作者 由 **Eric Muñoz Aguirre** 创建。 本项目是我的 AWS 云作品集的一部分,专注于云治理、安全、Infrastructure as Code 和多账户架构。
标签:AWS, DPI, ECS, Terraform, 云架构, 云治理, 多云账户管理