Netflix 近日分享重新檢視 AWS 帳戶架構經驗,指出早期雲端成長模式已難以支撐現時安全治理需求。Netflix 早期以少數大型 AWS 帳戶承載大量應用,隨着應用數量累積,帳戶內逐漸形成高度複雜存取關係,令安全隔離與權限管理變得困難,亦增加不必要的風險暴露。
在這種高度共享帳戶環境下,應用之間容易出現超出實際需要存取權限。即使安全團隊持續調整,相關設定仍會隨新應用與新功能推出變得愈趨複雜,不具備長期擴展性。Netflix 指出這正是促使團隊重新思考帳戶在雲端安全架構角色的關鍵原因。
Netflix 曾嘗試以傳統方式將工作負載拆分至不同帳戶,但過程往往需要同時遷移運算資源、身分角色及相依服務,工程複雜度高且風險難以控制。因此團隊選擇從身分與存取層面入手,重新設計帳戶與 IAM 角色之間關係。
其核心做法是將應用程式身分與實際運算及網絡資源解耦。透過建立跨帳戶信任機制,應用不需修改程式碼仍可如常取得 AWS 憑證,但實際使用 IAM 角色則可獨立存在於專屬帳戶。這讓 AWS 帳戶重新成為清晰而強化的安全邊界,而不必牽動既有基建。
在安全成效方面,Netflix 以存取暴露度作為主要觀察指標。當部分應用遷移至專屬帳戶後,原本存在於大型共享帳戶內大量不必要存取路徑會自然消失。資料顯示即使遷移比例未過半,整體存取風險已明顯下降,早期遷移帶來的安全回報尤為顯著。
在遷移策略上,Netflix 並未以應用規模或業務重要性作為唯一依據,而是綜合考慮安全風險、遷移複雜度及營運影響,優先處理「風險高、調整成本低」應用。這種做法有助在控制風險前提下加快整體轉型節奏。
為支援大規模帳戶調整,Netflix 建立內部遷移編排機制,集中管理應用資訊、帳戶分配、存取關係及部署流程。系統會在每次遷移前驗證,確保應用狀態與環境條件符合要求,並配合既有部署與監控流程,減少對營運穩定性影響。
根據公開資料,截至分享時 Netflix 已完成 405 個應用遷移,涉及超過 1,100 個 IAM 角色,並曾同時進行大規模平行遷移。整體過程中僅出現一次輕微內部服務影響,未對用戶體驗造成影響,顯示該模式在實際企業環境具備可行性。
從 CIO 及 CISO 角度來看,Netflix 案例反映出當雲端規模不斷擴大,帳戶架構已不再只是基礎設計問題,而是直接影響安全治理效率與風險控制能力的重要決策。透過在不重構基建情況下重塑帳戶邊界,企業仍有機會逐步改善雲端安全狀態,為後續治理與擴展奠定基礎。