Что такое AWS Organizations? Как это работает и передовой опыт

Что такое AWS Organizations Изучение

AWS Organizations — это сервис управления учетными записями AWS, который позволяет пользователям централизованно управлять и контролировать группы учетных записей AWS, а также применяемые к ним рабочие процессы и политики.

Процесс управления может выполняться вручную или программно на уровне API. Пользователи могут:

  • Интегрируйте несколько сервисов AWS с несколькими уникальными учетными записями AWS.
  • Управляйте пользовательскими средами на основе организационных, юридических или проектных политик.

Учетные записи также могут совместно использовать ресурсы, механизмы безопасности, требования аудита, конфигурации и политики между несколькими организациями AWS.

В этой статье мы дадим обзор сервиса AWS Organization и того, как вы можете использовать его в качестве передовой практики для своих пользовательских сред AWS.

Учетные записи пользователей в AWS Organizations

Первоначально Amazon Web Services начинался с единой учетной записи пользователя. В которой было зарегистрировано несколько сервисов AWS. Каждый человек использовал одну учетную запись AWS и при необходимости подписывался на несколько сервисов AWS.

Однако использование одной учетной записи для каждого пользователя ограничивает то, как организации могут управлять услугами, разрешениями безопасности, аудитами, политиками и счетами в нескольких бизнес-подразделениях и проектах, назначенных одной и той же учетной записи пользователя.

Концепция учетной записи AWS значительно изменилась с момента создания облачного сервиса AWS, который продолжает расти, особенно в следующих областях:

  • Решения
  • Варианты ресурсов
  • Биллинг
  • Особенности конфигурации

Теперь мы можем рассматривать учетные записи AWS как контейнеры, которые состоят из таких возможностей, которые управляются и управляются несколькими учетными записями AWS, но в одной централизованной среде.

Преимущества организаций AWS

Вот почему имеет смысл использовать несколько учетных записей AWS для одних и тех же категорий ресурсов AWS, содержащихся в нескольких уникальных и управляемых средах учетных записей:

  • С легкостью классифицируйте и находите услуги. Находите и назначайте приложения AWS программным способом с помощью API, интерфейса командной строки (CLI) и графического интерфейса пользователя.
  • Применяйте логические границы ко всем аспектам политики. Разные проекты внутри организации могут подвергаться различным требованиям безопасности и соответствия. Например, разделив ресурсы AWS в нескольких учетных записях AWS во всех этих разных проектах, вы можете легко обеспечить соблюдение уникальных политик идентификации в соответствии с применимыми нормативными документами.
  • Содержать повреждения в логически изолированных учетных записях пользователей. Если конкретная учетная запись пользователя будет скомпрометирована, только ресурсы, назначенные этой учетной записи пользователя AWS Organizations, будут подвержены более высокому риску.
  • Легко управляйте биллингом и ресурсами для каждого проекта или задачи. Сотрудники могут переключаться между назначенными им аккаунтами AWS Organizations и оптимально использовать ресурсы по мере необходимости.

Вот почему имеет смысл использовать несколько учетных записей AWS

Ключевые особенности AWS Organizations

AWS Organizations — это сервис, который позволяет организациям определять, управлять и управлять группами учетных записей пользователей AWS, а также централизованно предоставлять услуги и политики, а также поддерживать единый счет для организации AWS и набора базовых учетных записей пользователей.

Чтобы реализовать эти возможности, AWS Organizations позволяет:

  • Управляйте несколькими учетными записями AWS в разных средах. Установите границы, определяющие политики, услуги и ресурсы, используемые сгруппированными организационными единицами (OU).
  • Контроль доступа и разрешений. Применяйте политики для управления идентификацией и доступомдля пользователей в зависимости от команд, бизнес-подразделений и проектов.
  • Делитесь ресурсами между аккаунтами. После того, как сервис AWS создан и настроен, вы можете поделиться этим сервисом между несколькими пользователями как внутри одной организации AWS, так и за ее пределами.
  • Аудит на соответствие. Ведение обширного контрольного журнала всех счетов для целей аудита.
  • Управляйте стоимостью. Единый консолидированный процесс выставления счетов позволяет пользователям отслеживать, управлять и оптимизировать использование для всех учетных записей и пользовательских сред.
  • Используйте бесплатно. Активация этой функции бесплатна. С аккаунтов, как обычно, взимается плата только за те сервисы AWS и ресурсы, которые они потребляют.

Недостатки AWS-организаций

AWS Organizations упрощает управление несколькими учетными записями пользователей, но также может усложнить всю систему и, возможно, привести к нарушениям безопасности.

Вот несколько рекомендаций по безопасности, предложенных AWS , чтобы убедиться, что AWS Organizations наилучшим образом подходят для управления средами с несколькими учетными записями пользователей:

  • Безопасность. Используйте адрес электронной почты, управляемый вашей организацией, для корневого пользователя AWS Organizations. Используйте сложные пароли, многофакторную аутентификацию и номер телефона для восстановления аккаунта.
  • Мониторинг. Примените необходимые элементы управления для отслеживания использования учетных записей пользователей root. Доступ пользователя root должен быть редким и немедленно запускать флаги в случае несанкционированного доступа.
  • Ограничьте привилегии. Присоедините политику управления службами (SCP) к учетной записи пользователя root. В результате политика безопасности будет распространяться на всех пользователей AWS Organization.

Понимая, как работает AWS Organizations, вы можете избежать проблем и максимально использовать преимущества AWS.

Читайте также:  Когда использовать развертывания, модули и сервисы Kubernetes
Оцените статью
bestprogrammer.ru
Добавить комментарий