使用多账号+Organization区分不同部门的费用 – PCMAN的技术博客

一、前言

前文提到过，实现费用分割的方法之一是加tag，即Billing Dashboard里边的Cost Allocation Tag功能。配置说明参考上篇文章。在运行一段时间之后，看效果如下。

使用Tag区分费用的一个主要挑战就是，部分资源不支持标记tag，无法按照tag进行费用拆分。不支持的主要内容包括：Route53/WAF等。在使用比较重且较贵的Aurora RDS服务中，RDS实例消耗的CPU、内存是根据实例规格计费的，是可以使用tag区分费用的。但是，RDS生成的磁盘IO是不支持加tag的。如果有多个Aurora，不能区分哪一个数据库发生的IOPS，这是一点很大的局限。

如下截图，首先筛选出来不带tag的费用类型，然后按照费用类型分类。可以从下图看到WAF的ACL和RDS的IO是不支持tag的。

以上会造成一部分费用无法区分tag，无法在多个用户间分割。除了费用分割需求，还有一个角度就是多账号管理。在IAM中设置多账号，并按照tag去控制资源可见还是相对复杂的。例如，需求是A用户完全不可见B用户创建的实例，A和B独立甚至可视为两个租户等场景。在这种情况下，最佳实践就是引入多账号，通过Organization进行管理。

Organization的前身就是 Consolidate Billing，可对多账号进行合并付款。目前已经演进到Organization功能。官网文档在这里。

为了进一步方便管控和提升安全性，推荐在每个子账户下，再建立新的IAM管理员负责日常操作。这里的用户体系模型如下图。

在这个模型中，各部门使用的子账号，他们的12位数字ID是完全不同的，因此其实他们是系统上的独立账号。IAM管理员是隶属于某一个子账号的，多个子账号之间是互相隔离的。换句话说，部门1和部门2的IAM管理员都可以叫user01，因为互相完全隔离，所以可以是重名的。在登录时候不需要担心因为是重名而无法区分登录，因为登录时候还需要输入12位数字ID的。

在账号分配上，主账号和各子账号的所有权可以由公司统一控制管理，每次上新项目或者新的团队时候，统一创建好IAM管理员账号，并下发给项目团队。

注：本文基于AWS海外环境编写。

二、创建新账号账号并初始化密码

根据上图的账户体系结构，首先创建分配给一个部门或者团队使用的AWS子账号。

1、新建子账号

首先使用当前主帐号登录到console，然后从下拉框里边点击Organization，如下截图。

如果当前语言是中文，要切换语言，需要将页面滚动到最下方，从页面最下方黑色banner中点击语言切换。如下截图红色框部分。

进入organization主界面。点击左侧的Add Account按钮创建新的账号。如下截图。

进入Add Acount界面后，有两个方式，可以分别通过邮件邀请，或者是直接创建账号。邮件邀请顾名思义是需要填写一个正确的邮箱去接受邀请URL才可以继续，而直接创建账号，其实依然是需要一个有效的URL用于重置密码的，所以这两种方式，都要求一个有效的真实的可以正常收发邮件的邮箱。

这里选择右侧的直接创建账号。填写一个有效的email邮箱地址。下方的IAM角色是可选的，可以不填写。填写好了后点击Create创建。

创建完成。界面自动返回到用户清单界面。在界面上可以看到，刚创建的名为 Li Si 的账号，颜色是灰色的，email和account id也是灰色的N/A。虽然刚才是输入了邮箱，但是因为还没有激活这个账号，所以暂时是灰色的。如下截图。

2、通过“忘记密码”的方式设置密码

接下来去用户注册邮箱，可以看到里边有了一封AWS发来的欢迎信。这封邮件是不包含登录信息的，一会还需要用这个邮件来设置密码。在这封邮件的下半部分，可以找到名为“My Account”的链接。如下红色的截图。

点击后跳转到登录界面。输入刚才填写的邮箱 lisi@bitipcman.com ，并点击登录。如下截图。

需要注意的是，由于刚才开通的全过程都没有输入密码，因此这里是需要重置密码。点击重置密码，如下截图。

点击重置密码后，要求输入图形验证码，并点击提交继续。如下截图。

重置密码的请求已经发送。

接下来切换到邮箱。可以看到重置密码的邮件。点击邮件中的链接继续。或者也可以复制下来，copy到浏览器地址栏，然后继续。

点击链接后，来到AWS的登录控制台，输入本账号的新的密码。

点击提交后，设置密码完成。

这个时候邮箱会收到一份提示邮件，提示密码重置完成。

3、第一次登录

再次来到登录窗口，输入邮箱名称。

输入刚才重置之后的新密码，完成登录。

登录成功。右上角可以看到用户名字，点击下拉框，可以看到“我的组织”。如下截图。

点击我的组织后，可以看到本账户的状态是属于组织统一管理。

至此账号就OK了。

以上设置的这个子账户，也是一个具有完整体系的AWS账户，可以开通资源，可以进IAM设置用户和权限。刚创建好的这个账户登录时候使用的是lisi@bitipcman.com，这种用邮箱方式登录的叫做root账号，后续再次登录root账号的入口就是AWS Console的入口。

即：https://console.aws.amazon.com/

为了安全起见和管理方便，后续不建议继续用这个root账户做日常操作。最佳实践是，在本账户下，再建立一个日常运维的管理员账户。这个运维账号的形式是用户名而不是root账户的邮箱方式）。由此，把root账号留在公司关键人手中，日常使用管理员账号下提供给运维和研发团队使用。

三、为新账号设置IAM管理员账户

上文提到了，日常操作应该基于IAM用户，而不是root账号。这里就来新建一个IAM管理员用于日常运维。

1、创建新IAM管理员账户

首先从控制台上的入口进入IAM。如下截图。

进入IAM主界面后，页面上方红色的框内是未来要使用的登录地址，建议加入收藏夹保存好。然后从左侧选择用户按钮。如下截图。

在IAM用户界面，点击添加用户按钮。

进入添加用户界面，用户名这里填写为user01，在访问类型里边，取消掉“编程访问”的对话框（即不给API授权），选中“AWS管理控制台访问”，即允许这个账号访问Console。关于密码是自动生成还是手工填写，是否强制用户修改密码，可以根据需要设置。

接下来为此用户绑定权限，点击左边第三个按钮“直接附加现有策略”，然后从下方第一行选中“AdminsitratorAccess”。

下一步是设置此客户对应的标签（tag）。在目前场景下，客户内部多个项目都拆分到了多个子账户，tag就可以暂时不设置了。这一步可以直接点下一步跳过。

下一步是审核界面，不需要操作，点击下一步继续就可以。

创建账户完成的界面如下截图。这里又再次提示了登录入口，密码默认隐藏，显示密码可以点击显示按钮。

至此IAM账户配置完成。如果是新打开浏览器的新窗口并使用登录入口登录的话，刚次这个已经打开的进程就会提示session已经结束。

2、第一次登录

上文最后一个步骤中有提示IAM登录地址，当访问这个地址时候第一个对话框账户（即12位数字）会自动带出来填写上，登录时候输入用户名user01，密码为上一步系统自动生成的密码。如下图。

登录成功，进入首页，接下来可以创建资源了。

接下来继续创建资源，使用一段时间后，将发生费用。

账号创建好的当天，如果去主账号的费用管理器中，查看linked account，请注意当天是不能显示出来的。例如如下截图中红色区域，linked account叫zhang san的是前几天创建的，因此可以看到；而新建的li si账号是当天创建，因此这里暂时看不到。过24小时后即可看到。

3、在子账号内查看资源使用

在子账号就位后，可以开始使用，创建一系列资源。在经过24小时后，从子账号的费用报告中，可以看到子账号的费用了。如下截图所示，在关联账号部分，下拉框是空的，这是因为子账号已经是被纳管关联的账号，自身不会再有下级账号了。日常运维管理元操作的只是IAM User身份，而不是独立子账号。因此这个下拉框是空白的。

由此，可以看到子账号的运作正常。

4、在主账号内查看多个关联的子账号费用

在第一次配置好子账号大约24小时后，主账号的计费中即可看到子账号的费用情况，如下截图，可以从右侧“筛选”和左上方“按某参数分组”两个角度来看到里边的数据。从如下截图中可以看到，橘色的就是昨天新建的子账号Li Si，他的日常管理员账号是IAM账户User01，但是费用都以子账号Li Si来统计，然后统一挂到主账户下。在下边这张截图中，绿色部分可见Zhang San是另一个子账户，也是相同的配置方式获得。