muaguirre/aws-multi-account-organization
GitHub: muaguirre/aws-multi-account-organization
该项目提供了一套基于 AWS Organizations 和 Terraform 的多账户架构方案,解决云环境下的治理、安全隔离与成本管控问题。
Stars: 0 | Forks: 0
# AWS 多账户组织架构
## 概述
本项目展示了一种使用 **AWS Organizations** 的多账户云架构。
其目标是通过将工作负载分离到多个账户中、应用集中化的安全控制,以及通过合并账单提高成本可见性,从而设计一个安全、可扩展且治理完善的 AWS 环境。
## 架构目标
- 使用不同的 AWS 账户分离环境。
- 通过 AWS Organizations 实现集中化治理。
- 跨账户应用 Service Control Policies。
- 通过减小影响范围来提升安全性。
- 集中化日志记录和安全监控。
- 通过合并账单控制成本。
- 限制资源仅部署在批准的 AWS 区域内。
- 使用 Infrastructure as Code 定义组织结构。
## 建议的账户结构
```
AWS Organizations
│
├── Management Account
│
├── Security OU
│ ├── Security Account
│ └── Log Archive Account
│
├── Infrastructure OU
│ └── Shared Services Account
│
└── Workloads OU
├── Development Account
├── Testing Account
└── Production Account
```
## 仓库结构
```
aws-multi-account-organization/
│
├── architecture/
│ └── organization-diagram.md
│
├── docs/
│ └── implementation-guide.md
│
├── policies/
│ ├── deny-root-user-scp.json
│ └── restrict-regions-scp.json
│
├── terraform/
│ ├── main.tf
│ ├── organizational-units.tf
│ ├── accounts.tf
│ └── scp.tf
│
├── LICENSE
└── README.md
```
## 使用的 AWS 服务
- AWS Organizations
- Service Control Policies
- AWS Identity and Access Management
- AWS CloudTrail
- AWS Config
- AWS Security Hub
- Amazon GuardDuty
- AWS Billing and Cost Management
## Terraform 基础设施即代码
本项目包含 Terraform 示例文件,以 Infrastructure as Code 的形式定义 AWS Organizations 结构。
包含的 Terraform 文件:
```
terraform/
├── main.tf
├── organizational-units.tf
├── accounts.tf
└── scp.tf
```
Terraform 配置定义了:
- AWS Organizations 设置。
- 用于安全、基础设施和工作负载的 Organizational Units。
- 每个环境的示例 AWS 账户。
- Service Control Policies。
- SCP 到 Organizational Units 的附加。
## 包含的 Service Control Policies
本项目包含用于治理和安全的示例 SCP。
### 拒绝 Root User 操作
文件:
```
policies/deny-root-user-scp.json
```
Terraform 等效配置:
```
terraform/scp.tf
```
目的:
- 防止日常使用 AWS root user。
- 降低安全风险。
- 实施更好的身份管理实践。
### 限制 AWS 区域
文件:
```
policies/restrict-regions-scp.json
```
Terraform 等效配置:
```
terraform/scp.tf
```
目的:
- 拒绝在批准的欧洲 AWS 区域之外部署资源。
- 减少意外产生的费用。
- 支持合规性和治理要求。
## 安全优势
此架构通过以下方式提升云安全性:
- 隔离生产、测试和开发环境。
- 将日志集中到专用账户中。
- 应用带有 SCP 的预防性控制。
- 减轻凭据泄露造成的影响。
- 避免在 Management Account 中运行工作负载。
- 通过 Infrastructure as Code 管理治理控制。
## 成本管理优势
此架构通过以下方式改善成本管理:
- 使用合并账单。
- 按环境分离成本。
- 提高跨账户的可见性。
- 支持按账户设置预算和警报。
- 减少在未批准区域内的未经授权部署。
## 文档
详细文档可在此处获取:
- [实施指南](docs/implementation-guide.md)
- [架构图](architecture/organization-diagram.md)
## 项目状态
这是一个作品集项目,旨在展示对 AWS Organizations、多账户治理、安全控制、Infrastructure as Code 以及云架构最佳实践的知识储备。
## 作者
由 **Eric Muñoz Aguirre** 创建。
本项目是我的 AWS 云作品集的一部分,专注于云治理、安全、Infrastructure as Code 和多账户架构。
标签:AWS, DPI, ECS, Terraform, 云架构, 云治理, 多云账户管理