AWS 多账户治理的设计能力 - Organizations、Control Tower、SCP 实现的组织治理
解析以 AWS Organizations、Control Tower、SCP(Service Control Policies)为核心的多账户治理机制,与 Azure Management Groups 进行比较,阐述企业治理设计能力的差异。
多账户策略是企业云的基础
在企业规模的云使用中,单账户运营是不现实的。开发环境与生产环境的隔离、按部门的成本管理、安全边界的建立、合规要求的应对——要满足这些需求,系统化管理多个账户的多账户策略不可或缺。AWS 以 Organizations 为基础,通过 Control Tower 提供自动化的着陆区构建,通过 SCP 实现预防性护栏,构建了三层治理体系。这种设计使得从数十到数千个账户的组织都能在保持安全性的同时实现敏捷的开发。
AWS Organizations 与 SCP 的层级化治理
AWS Organizations 是以组织单元(OU:Organizational Unit)的层级结构管理多个 AWS 账户的服务。OU 可以构成树形结构,能够根据企业的组织架构或工作负载分类进行灵活的层级设计。SCP(Service Control Policies)是应用于 OU 或账户的预防性护栏。SCP 是 IAM 策略的上层约束,即使账户内的 IAM 策略允许某操作,如果 SCP 拒绝则该操作无法执行。例如,通过在根 OU 设置「禁止离开组织」「禁止禁用 CloudTrail」等 SCP,可以在组织层面强制执行安全基线。SCP 的强大之处在于它是预防性控制——不是在违规发生后检测,而是从物理上阻止违规操作的执行。
Control Tower 自动构建着陆区
AWS Control Tower 是基于多账户环境最佳实践自动构建着陆区的服务。着陆区是指安全、日志集中、账户管理基础已就绪的多账户环境起点。Control Tower 整合 Organizations、IAM Identity Center(原 SSO)、CloudTrail、AWS Config 等服务,自动配置安全基线。Control Tower 的护栏分为预防性护栏(基于 SCP 的禁止)和检测性护栏(基于 Config Rules 的违规检测)两类,可以根据组织的合规要求选择性启用。Account Factory 功能可以按照预定义模板自动创建新账户,确保所有账户从创建时就符合组织标准。
与 Azure Management Groups 的比较
Azure 使用 Management Groups 层级化管理订阅(相当于 AWS 的账户)。Management Groups 支持最多 6 层的树形结构,可以按组为单位应用 Azure Policy。Azure Policy 具有类似于 AWS SCP 和 AWS Config Rules 组合的功能,可以在一个策略框架中同时实现预防性控制和检测性控制。Azure 的优势在于 Policy 的统一性——无需像 AWS 那样分别使用 SCP 和 Config Rules。然而,Azure 没有与 Control Tower 相当的托管着陆区服务。Azure Landing Zones 提供参考架构和 Bicep/Terraform 模板,但需要用户自行构建和维护。AWS Control Tower 的价值在于着陆区的构建和持续治理作为托管服务提供,减轻了运维负担。
与 GCP 资源层级的比较
GCP 以 Organization、Folder、Project 三层结构管理资源。Organization 与 Google Workspace 或 Cloud Identity 的域关联,Folder 最多可嵌套 10 层。Organization Policy Service 可以在 Folder 或 Project 级别应用相当于 SCP 的约束。GCP 的特点是 Project 级别的资源隔离粒度细,但 Folder 的管理功能不如 AWS OU 丰富。GCP 没有与 Control Tower 相当的托管着陆区服务,需要使用 Terraform 模块(Cloud Foundation Toolkit)自行构建。
多账户设计最佳实践
AWS 的多账户设计以工作负载隔离、环境隔离、安全边界建立为目的来设计 OU 结构。常见模式推荐 Security OU(日志归档、审计)、Infrastructure OU(共享网络、DNS)、Sandbox OU(开发者实验用)、Workloads OU(生产、预发布、开发)的构成。AWS 的多账户设计优势在于账户本身就是最强的隔离边界。IAM 策略的错误配置影响范围限于该账户内,不会波及其他账户。这种「爆炸半径」的限制是单账户运营无法实现的安全特性。要深入了解云治理和多账户策略,相关书籍 (Amazon) 也可作为参考。
总结
AWS 的多账户治理由 Organizations 的层级管理、SCP 的预防性护栏、Control Tower 的着陆区自动构建三层结构组成。Azure 在 Management Groups 和 Azure Policy 的统一策略管理方面具有优势,但缺少相当于 Control Tower 的托管着陆区服务。GCP 的三层结构简洁但管理功能有限。对于管理数百个账户的企业来说,AWS 的多账户治理体系在自动化程度和护栏的细粒度方面提供了最高水平的治理能力。