为了实现在企业内部多个AWS云账户的科学管理，AWS支持多种账户体系结构，它们是身份账户体系结构、日志账户体系结构、账单结构和发布账户体系结构。下边分别对多个账户体系结构进行介绍： 1、身份账户体系结构：设置一个中央身份账户体系，即所谓的身份账户。在身份账户下设置具体的IAM用户账号、密码和密钥，再把身份账户与其他业务身份账户之间建立信任策略。在具体的业务账户中建立跨账户的角色（即跨账户访问的IAM角色），并给该IAM角色配置具体资源访问权限，比如该IAM角色可以访问S3存储桶的权限。接下来在中央身份账户下设置允许特定IAM用户切换至业务身份账户下的指定的IAM角色，以实现对业务账户下特定资源的访问。这样就可以避免某开发人员的IAM用户直接获得生产环境账户下资源的完全访问权限，造成不必要的安全问题。 2、账单结构：利用AWS Organization服务实现主子账单的级联，即主账户和成员账户的分级管理。实现企业下多个账户的账单的统一管理和支付。另外，可以通过AWS Organization服务控制台设置特定的服务安全策略（Service Security Policy, SCP），来实现基于企业整体合规的安全策略一致性的下发，即在企业整体层面，允许特定的安全策略作用在指定的成员账户，并实现对特定资源的允许或禁止访问。比如企业级的一个安全策略是禁止企业内的所有成员账户擅自禁用AWS CloudTrail服务，然后集中所有成员账户的CloudTrail日志集中存放在一个中央S3存储桶，以支持后期集中分析多个账户的操作日志。 以下是AWS官方对AWS organization服务的详细解读： 借助 AWS Organizations服务，您可以在企业内部轻松完成针对日益增长的AWS云资源的必要集中管理和监管服务。您可以使用AWS Organizations来创建账户和分配资源、对账户进行分组以整理您的工作流、应用监管策略，以及为您所有的账户使用统一的付款方式以简化账单。 3、日志账户体系结构：实现利用主账户的S3云存储桶（即OSS对象存储）来存储来自成员账户的Cloudtrail、VPC flow和AWS config等日志，并实现日志统一分析和管理。 4、发布账户体系结构：由企业的安全部门创建经过检测的安全镜像，设置必要的安全访问策略，规范研发人员必须通过经过安全检测的AMI研发镜像来启动EC2实例。 通过以上AWS多种账户体系结构的介绍，我们可以看到不同的云账户体系结构分别解决了客户或业务部门上云的特定问题。这也印证了架构或解决方案的价值就是在解决客户的实际问题。通过AWS云产品的架构理念的学习，更加增强了我们对云架构师角色的认知。