Auto-sync: update nexus workspace

wiki/concepts/Shared-Account.md

@@ -0,0 +1,55 @@
+---
+title: "Shared Account"
+type: concept
+tags: [AWS, Multi-Account, Landing-Zone, Architecture, IAM]
+sources:
+  - ctp-topic-16-cross-account-terraform-modules.md
+last_updated: 2026-05-15
+---
+
+## Overview
+
+Shared Account（共享账号）是 AWS Landing Zone 多账号架构中的核心管理账号，托管 CI/CD 平台（[[Jenkins]]）、镜像仓库等公共服务，并作为跨账号部署的**信任源**（Trust Source）。
+
+## Role in Multi-Account Architecture
+
+在 AWS Landing Zone 中，Shared Account 是 Workload 账号之间的**唯一信任中间人**：
+
+```
+Workload Account A → 不直接访问 → Workload Account B
+       ↑                                       ↓
+       └── ← Shared Account (Assume Role) ────┘
+```
+
+这种架构通过[[Blast-Radius]]控制实现了：
+- Workload 账号之间无直接信任关系
+- 所有跨账号操作通过 Shared Account 中转
+- 安全策略集中管控和审计
+
+## Responsibilities
+
+| 职责 | 说明 |
+|------|------|
+| CI/CD 托管 | Jenkins、构建代理 |
+| 镜像仓库 | ECR 中的容器镜像 |
+| 跨账号部署 | [[ECS-Deploy-Runner]] 运行在此账号，通过 Assume Role 访问目标账号 |
+| 公共服务 | DNS（NTP 等）供给 |
+
+## Security Principles
+
+1. **最小权限**：仅持有部署所需的两个专用角色（State Accessor + Deploy Runner Role）
+2. **审计追踪**：所有操作集中记录
+3. **隔离保护**：Shared Account 本身受到严格的安全控制和定期审计
+
+## Relationships
+
+- [[AWS-Landing-Zone]]：Shared Account 是 Landing Zone 架构的支柱
+- [[ECS-Deploy-Runner]]：运行在 Shared Account 的 ECS 集群
+- [[Jenkins]]：托管在 Shared Account
+- [[Blast-Radius]]：Shared Account 架构是 Blast Radius 控制的核心机制
+- [[Assume-Role]]：Shared Account 通过 Assume Role 访问 Workload 账号
+
+## Related Concepts
+
+- [[Cross-account-Terraform-Modules]]：Shared Account 支撑的核心功能
+- [[Infrastructure-as-Code]]：Shared Account 中的 Jenkins 驱动 IaC 部署