為了實(shí)現(xiàn)在企業(yè)內(nèi)部多個(gè)AWS云賬戶的科學(xué)管理，AWS支持多種賬戶體系結(jié)構(gòu)，它們是身份賬戶體系結(jié)構(gòu)、日志賬戶體系結(jié)構(gòu)、賬單結(jié)構(gòu)和發(fā)布賬戶體系結(jié)構(gòu)。下邊分別對多個(gè)賬戶體系結(jié)構(gòu)進(jìn)行介紹：

1、身份賬戶體系結(jié)構(gòu)：設(shè)置一個(gè)中央身份賬戶體系，即所謂的身份賬戶。在身份賬戶下設(shè)置具體的IAM用戶賬號(hào)、密碼和密鑰，再把身份賬戶與其他業(yè)務(wù)身份賬戶之間建立信任策略。在具體的業(yè)務(wù)賬戶中建立跨賬戶的角色（即跨賬戶訪問的IAM角色），并給該IAM角色配置具體資源訪問權(quán)限，比如該IAM角色可以訪問S3存儲(chǔ)桶的權(quán)限。接下來在中央身份賬戶下設(shè)置允許特定IAM用戶切換至業(yè)務(wù)身份賬戶下的指定的IAM角色，以實(shí)現(xiàn)對業(yè)務(wù)賬戶下特定資源的訪問。這樣就可以避免某開發(fā)人員的IAM用戶直接獲得生產(chǎn)環(huán)境賬戶下資源的完全訪問權(quán)限，造成不必要的安全問題。

2、賬單結(jié)構(gòu)：利用AWS Organization服務(wù)實(shí)現(xiàn)主子賬單的級(jí)聯(lián)，即主賬戶和成員賬戶的分級(jí)管理。實(shí)現(xiàn)企業(yè)下多個(gè)賬戶的賬單的統(tǒng)一管理和支付。另外，可以通過AWS Organization服務(wù)控制臺(tái)設(shè)置特定的服務(wù)安全策略（Service Security Policy, SCP），來實(shí)現(xiàn)基于企業(yè)整體合規(guī)的安全策略一致性的下發(fā)，即在企業(yè)整體層面，允許特定的安全策略作用在指定的成員賬戶，并實(shí)現(xiàn)對特定資源的允許或禁止訪問。比如企業(yè)級(jí)的一個(gè)安全策略是禁止企業(yè)內(nèi)的所有成員賬戶擅自禁用AWS CloudTrail服務(wù)，然后集中所有成員賬戶的CloudTrail日志集中存放在一個(gè)中央S3存儲(chǔ)桶，以支持后期集中分析多個(gè)賬戶的操作日志。

以下是AWS官方對AWS organization服務(wù)的詳細(xì)解讀：

借助 AWS Organizations服務(wù)，您可以在企業(yè)內(nèi)部輕松完成針對日益增長的AWS云資源的必要集中管理和監(jiān)管服務(wù)。您可以使用AWS Organizations來創(chuàng)建賬戶和分配資源、對賬戶進(jìn)行分組以整理您的工作流、應(yīng)用監(jiān)管策略，以及為您所有的賬戶使用統(tǒng)一的付款方式以簡化賬單。

3、日志賬戶體系結(jié)構(gòu)：實(shí)現(xiàn)利用主賬戶的S3云存儲(chǔ)桶（即OSS對象存儲(chǔ)）來存儲(chǔ)來自成員賬戶的Cloudtrail、VPC flow和AWS config等日志，并實(shí)現(xiàn)日志統(tǒng)一分析和管理。

4、發(fā)布賬戶體系結(jié)構(gòu)：由企業(yè)的安全部門創(chuàng)建經(jīng)過檢測的安全鏡像，設(shè)置必要的安全訪問策略，規(guī)范研發(fā)人員必須通過經(jīng)過安全檢測的AMI研發(fā)鏡像來啟動(dòng)EC2實(shí)例。 

通過以上AWS多種賬戶體系結(jié)構(gòu)的介紹，我們可以看到不同的云賬戶體系結(jié)構(gòu)分別解決了客戶或業(yè)務(wù)部門上云的特定問題。這也印證了架構(gòu)或解決方案的價(jià)值就是在解決客戶的實(shí)際問題。通過AWS云產(chǎn)品的架構(gòu)理念的學(xué)習(xí)，更加增強(qiáng)了我們對云架構(gòu)師角色的認(rèn)知。