谷咕云计算

在AWS国际版中，管理多个账号的权限配置是确保安全性和效率的关键。以下是多账号管理的核心操作方式和步骤，分场景说明：

一、基础架构：使用AWS Organizations集中管控

1. 创建组织并整合账号

• 操作步骤：

  1. 主账号操作：登录主账号 → 进入 AWS Organizations → 点击 Create organization。

  2. 邀请成员账号：

     • 目标账号的邮箱或账号ID → 发送邀请。

     • 目标账号所有者需接受邀请（登录目标账号 → AWS Organizations → 接受邀请）。

  3. 创建组织单元（OU）：

     • 按部门或环境划分（如 Production、Development、Finance）。

     • 将成员账号拖拽到对应OU中。

2. 应用服务控制策略（SCPs）

• 场景：禁止所有账号创建高风险资源（如未加密的S3桶）。

• 策略示例：

  json

  复制

  {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Sid": "DenyUnencryptedS3",
        "Effect": "Deny",
        "Action": "s3:CreateBucket",
        "Resource": "*",
        "Condition": {
          "Null": {
            "s3:x-amz-server-side-encryption": "true"
          }
        }
      }
    ]
  }

• 绑定策略：选择目标OU → 附加SCP策略。

二、跨账号访问：IAM角色与策略

1. 创建跨账号角色（AssumeRole）

• 场景：允许开发账号的管理员访问生产账号的只读权限。

• 操作步骤：

  1. 在生产账号中：

     • 创建IAM角色 CrossAccountReadOnly → 信任实体为开发账号的ID。

     • 附加策略 ReadOnlyAccess。

  2. 在开发账号中：

     • 为用户或组添加策略允许调用 sts:AssumeRole：

       json

       复制

       {
         "Version": "2012-10-17",
         "Statement": [
           {
             "Effect": "Allow",
             "Action": "sts:AssumeRole",
             "Resource": "arn:aws:iam::生产账号ID:role/CrossAccountReadOnly"
           }
         ]
       }

  3. 访问方式：

     bash

     复制

     # 通过AWS CLI切换角色
     aws sts assume-role --role-arn "arn:aws:iam::生产账号ID:role/CrossAccountReadOnly" --role-session-name "DevToProd"2. 使用资源策略直接授权

• 场景：允许另一个账号访问本账号的S3存储桶。

• 操作步骤：

  1. 在S3存储桶策略中添加跨账号权限：

     json

     复制

     {
       "Version": "2012-10-17",
       "Statement": [
         {
           "Effect": "Allow",
           "Principal": {"AWS": "arn:aws:iam::目标账号ID:root"},
           "Action": "s3:GetObject",
           "Resource": "arn:aws:s3:::bucket-name/*"
         }
       ]
     }

三、高级管理：AWS Control Tower

1. 部署Landing Zone

• 适用场景：企业级多账号合规基线配置。

• 操作步骤：

  1. 主账号中进入 AWS Control Tower → 点击 Set up landing zone。

  2. 选择 Region（如新加坡 ap-southeast-1） → 配置日志存档账号和审计账号。

  3. 自动完成以下配置：

     • 创建核心OU（如 Security、SharedServices）。

     • 启用默认SCPs（禁止关闭CloudTrail、限制区域等）。

     • 部署日志集中存储（Amazon S3 + CloudWatch）。

2. 自定义防护策略（Guardrails）

• 示例：强制所有账号启用S3加密。

  • 在Control Tower中 → Guardrails → 启用 s3-bucket-server-side-encryption-enabled。

  • 自动检测并阻止未加密的S3桶创建。

四、集中身份管理：AWS SSO

1. 统一用户目录

• 操作步骤：

  1. 主账号中进入 AWS SSO → 选择身份源（如AWS Managed AD或外部IdP）。

  2. 同步用户和组 → 分配权限集（如 AdministratorAccess、ReadOnly）。

2. 跨账号权限分配

• 场景：允许财务组访问所有账号的Billing控制台。

  1. 创建权限集 BillingViewOnly → 附加策略 AWSBillingReadOnlyAccess。

  2. 在AWS SSO中将权限集分配给 Finance组，并选择所有目标账号。

五、监控与审计

1. 集中日志归档

• 配置步骤：

  1. 创建专用审计账号 → 启用 AWS CloudTrail 组织级追踪。

  2. 将所有账号的CloudTrail日志转发至审计账号的S3桶。

2. 自动化合规检查

• 使用 AWS Config Aggregator：

  1. 在管理账号中启用聚合器 → 添加所有成员账号。

  2. 配置规则（如 iam-password-policy 检查密码强度）。

六、权限边界与最小特权

1. 限制IAM权限边界

• 场景：防止开发账号的IAM用户提权。

• 策略示例：

  json

  复制

  {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Action": "*",
        "Resource": "*",
        "Condition": {
          "StringNotEquals": {"iam:PermissionsBoundary": "DevBoundaryPolicy"}
        }
      }
    ]
  }

2. 临时凭证管理

• 强制使用角色而非长期凭证：

  • 通过SCP禁止创建Access Key：

    json

    复制

    {
      "Version": "2012-10-17",
      "Statement": [{
        "Effect": "Deny",
        "Action": "iam:CreateAccessKey",
        "Resource": "*"
      }]
    }

配置方式对比

最佳实践总结

1. 分层管理：Organizations管理账号结构，SCP控制权限边界，IAM角色实现跨账号操作。

2. 最小权限原则：所有策略按需分配，禁止通配符（"Action": "*"）。

3. 自动化监控：通过CloudTrail+Config+Security Hub实时检测异常。

4. 定期审计：每季度检查SCP和IAM策略，删除冗余权限。

通过上述方式，可构建安全、灵活的多账号管理体系，同时满足合规性和运维效率需求。

总结：灵活支付保障业务无忧

若需开通aws国际账户，可通过aws授权的代理商咨询客服，提供注册邮箱即可开通。https://www.kaihu123.com

即时到账，无需绑定支付方式。邮箱注册无需实名登记全程技术免费服务