我看到一些公司通过使用更多帐户来管理AWS中的多个环境。
如果VPC有点像虚拟数据中心,那么在我看来,使用VPC和IAM权限应该足以管理不同的环境。
将单个AWS帐户与VPC+IAM权限一起用于管理环境(开发、测试、暂存、生产(有哪些客观限制?
示例:另一位SO用户指出,AWS在帐户的基础上设置了某些限制/配额,因此一个环境(VPC(过度使用资源会有效地影响另一个环境。对我来说,这是尽可能客观的。
根据我的个人经验,我看到有些时候,如果环境在不同的账户中,人们更容易为大型组织计算账单。尽管这些限制更多地与公司的运营方式有关,但公司肯定认为这是一个客观的限制。
因此,我试图收集一份这些客观限制的列表,说明为什么一家公司会决定以其他方式管理环境,而不仅仅是通过IAM+VPC。
另一种看待这个问题的方法是,想想你经常执行的环境管理任务/流程,然后列出如果你只使用VPC+IAM,你不能执行的任务/流程。
从网络角度来看:没有
从权限模型的角度来看:是的
AWS建议大型组织采用每个环境使用一个帐户的方法,因为它强制执行环境之间的严格边界。在正常环境中进行跨环境调用可以很容易地完成(例如,将prod而不是dev的DynamoDB搞砸(,而在多帐户设置中,您需要具有不同的凭据。
除了权限模型之外,每个帐户(=每个环境(而不是您的公司也有限制的优势。例如,Lambda并发限制是在帐户级别强制执行的。在这种情况下,您的开发环境可能会打乱您的产品帐户。最后但同样重要的是,命名也可能是每个环境都有一个帐户的好理由。例如,参数存储中的变量必须是每个帐户唯一的。使用多个帐户,可以对每个环境使用相同的参数,而不会发生冲突。类似的情况也适用于许多资源,例如Cloudformation堆栈。