AWS Organizations управляет учетными записями AWS, становится общедоступной
Хорошие новости для администраторов Amazon AWS: AWS Organizations вышла из предварительной версии и стала общедоступной. Эта функция позволяет администраторам управлять несколькими учетными записями AWS.
Что такое организации AWS?
Если вы уже давно являетесь администратором AWS, вы знаете, что управление может включать более одной учетной записи. Может быть, у вас есть несколько для вашей организации. Может быть, у вас есть несколько для ваших клиентов. Возможно, вы просто не торопитесь внедрять AWS и вместо этого предпочитаете делать это постепенно в масштабах предприятия, когда несколько команд делают это, прежде чем остальные последуют их примеру. Или, может быть, больше расти в вашем портфолио через приобретение или два или десять. Или, может быть, несколько разных учетных записей поддерживаются отдельно для требований соответствия, что означает разные учетные записи для разработки, тестирования и вашей производственной среды.
Проблема в том, что это огромная заноза в заднице. Да, мы сказали это. Это не масштабируемо, с ним трудно иметь дело, и это головная боль. AWS Organizations отвечает на этот вопрос, предоставляя администраторам возможность определять политики управления доступом, которые можно легко применять ко всем, некоторым или отдельным учетным записям. AWS Organizations также дает вам возможность управлять выставлением счетов отдельно, используя при этом преимущества ценообразования AWS.
Что AWS Organizations позволяет вам делать
Использование Organizations позволяет централизованно управлять несколькими учетными записями AWS с возможностью создания иерархии организационных единиц (OU) и назначения каждой учетной записи OU. Политики можно определить и применить ко всей иерархии, выбранным организационным подразделениям или конкретным учетным записям. Учетные записи AWS могут быть приглашены присоединиться к вашей организации, но вы можете создавать новые учетные записи в рамках одной организации в любое время.
Вы можете создать организацию из консоли. Это консолидированный набор учетных записей AWS, которыми управляет администратор или группа администраторов. Организации могут применять политики управления службами (SCP), которые применяются к организационному подразделению (контейнеру для набора учетных записей AWS) и подразделениям, находящимся под ним в иерархии.
Лучшие практики
Amazon рекомендует, чтобы основные учетные записи, которые выступают в качестве центра управления организацией (а также несут ответственность за оплату), были свободны от операционных ресурсов AWS, чтобы вы могли лучше понимать свой счет. Единственным исключением из этого правила будет использование CloudTrail в основной учетной записи для централизованного отслеживания использования AWS в учетных записях участников.
AWS также рекомендует, чтобы политики для подразделений имели как можно меньше привилегий, что поможет ничего не сломать.
Точно так же OU должны быть назначены политики (а не учетные записи). Это обеспечивает лучшее соответствие между вашей организационной структурой и необходимым уровнем доступа к AWS.
Перед масштабированием следует протестировать новые и измененные политики в одной учетной записи.
API и шаблоны AWS CloudFormation можно использовать, чтобы убедиться, что вновь созданные учетные записи настроены по желанию. Шаблон помогает создавать пользователей, роли и политики IAM, а также вести журналы и VPC.
Подробнее об организациях AWS читайте здесь.