nexus/wiki/concepts/Multi-Account-Strategy.md

---
title: "Multi-Account Strategy"
type: concept
tags: [AWS, Architecture, Security]
sources: [how-to-simplify-multi-account-deployments-monitoring, how-to-simplify-multi-account-deployments-monitoring-centralized-logs-for-aws-cloudformation-stacksets]
last_updated: 2026-04-16
---

## Summary
多账号策略是 AWS 推荐的企业级云架构模式，通过将工作负载分离到多个 AWS 账号来提升安全性、治理能力和故障隔离。

## Definition
Multi-Account Strategy（多账号策略）是指在 AWS Organizations 框架下，使用多个 AWS 账号组织云资源的管理策略，通常包括：管理账号（Management Account）、日志账号（Log Archive Account）、安全账号（Security Account）和多个工作负载账号（Workload Accounts）。

## Key Attributes
- **目的**：安全性提升、治理能力增强、故障隔离、成本核算
- **实现方式**：AWS Organizations + Organizational Units (OU)
- **核心组件**：管理账号、成员账号、组织单元

## Why
- 资源隔离：不同业务线、环境（生产/开发/测试）相互隔离
- 安全边界：最小权限原则，账号间无法相互访问
- 合规要求：满足 ISO 27001、HIPAA 等合规审计需求
- 成本追踪：按账号独立核算成本

## Connections
- [[AWS Organizations]] ← 组织 ← [[Multi-Account Strategy]]
- [[StackSets]] ← 依赖 ← [[Multi-Account Strategy]]
- [[AWS Organizations]] 是实施多账号策略的核心服务