我已经看到一些公司通过使用更多帐户来管理AWS中的多个环境。
如果VPC有点像虚拟数据中心,在我看来,使用VPC和IAM权限应该足以管理不同的环境。
将单个AWS帐户与VPC和IAM权限一起用于管理环境(开发,测试,登台,生产)有哪些客观限制?
示例:另一位SO用户指出,AWS根据帐户设置某些限制/配额,因此一个环境(VPC)过度使用资源会有效影响另一个环境。对我来说,这是您所能达到的目标。
根据个人经验,我发现有些时候,如果环境在不同的帐户中,人们就更容易为大型组织弄清楚帐单。这些限制与公司的运营方式有更多关系,但公司当然认为这是客观的限制。
因此,我试图收集这些客观限制的清单,以便公司决定以其他方式(而不是仅通过IAM + VPC)来管理环境。
查看问题的另一种方法是,考虑定期执行的循环环境管理任务/过程,然后列出如果仅使用VPC + IAM则无法执行的任务。
答案 0 :(得分:2)
从网络角度看:否
从权限模型的角度来看:是
在每个环境中使用帐户是AWS建议大型组织使用的方法,因为它在环境之间建立了严格的界限。在正常环境中进行跨环境调用很容易做到(例如,将prod的DynamoDB而不是dev弄乱了),而在多帐户设置中,您需要具有不同的凭据。
除权限模型外,每个帐户(每个环境)(而不是您的公司)有限制也有一个优势。例如。 Lambda并发限制是在帐户级别强制执行的。在这种情况下,您的开发环境可能会使您的产品帐户混乱。 最后但并非最不重要的一点是,命名也可能是每个环境都拥有一个帐户的一个很好的理由。例如。每个帐户的参数存储中的变量必须唯一。使用多个帐户,您可以在每个环境中使用相同的参数而不会发生冲突。类似的情况对于许多资源也适用,例如Cloudformation堆栈。