AWS Organizations — это сервис управления учетными записями AWS, который позволяет пользователям централизованно управлять и контролировать группы учетных записей AWS, а также применяемые к ним рабочие процессы и политики.
Процесс управления может выполняться вручную или программно на уровне API. Пользователи могут:
- Интегрируйте несколько сервисов AWS с несколькими уникальными учетными записями AWS.
- Управляйте пользовательскими средами на основе организационных, юридических или проектных политик.
Учетные записи также могут совместно использовать ресурсы, механизмы безопасности, требования аудита, конфигурации и политики между несколькими организациями AWS.
В этой статье мы дадим обзор сервиса AWS Organization и того, как вы можете использовать его в качестве передовой практики для своих пользовательских сред AWS.
Учетные записи пользователей в AWS Organizations
Первоначально Amazon Web Services начинался с единой учетной записи пользователя. В которой было зарегистрировано несколько сервисов AWS. Каждый человек использовал одну учетную запись AWS и при необходимости подписывался на несколько сервисов AWS.
Однако использование одной учетной записи для каждого пользователя ограничивает то, как организации могут управлять услугами, разрешениями безопасности, аудитами, политиками и счетами в нескольких бизнес-подразделениях и проектах, назначенных одной и той же учетной записи пользователя.
Концепция учетной записи AWS значительно изменилась с момента создания облачного сервиса AWS, который продолжает расти, особенно в следующих областях:
- Решения
- Варианты ресурсов
- Биллинг
- Особенности конфигурации
Теперь мы можем рассматривать учетные записи AWS как контейнеры, которые состоят из таких возможностей, которые управляются и управляются несколькими учетными записями AWS, но в одной централизованной среде.
Преимущества организаций AWS
Вот почему имеет смысл использовать несколько учетных записей AWS для одних и тех же категорий ресурсов AWS, содержащихся в нескольких уникальных и управляемых средах учетных записей:
- С легкостью классифицируйте и находите услуги. Находите и назначайте приложения AWS программным способом с помощью API, интерфейса командной строки (CLI) и графического интерфейса пользователя.
- Применяйте логические границы ко всем аспектам политики. Разные проекты внутри организации могут подвергаться различным требованиям безопасности и соответствия. Например, разделив ресурсы AWS в нескольких учетных записях AWS во всех этих разных проектах, вы можете легко обеспечить соблюдение уникальных политик идентификации в соответствии с применимыми нормативными документами.
- Содержать повреждения в логически изолированных учетных записях пользователей. Если конкретная учетная запись пользователя будет скомпрометирована, только ресурсы, назначенные этой учетной записи пользователя AWS Organizations, будут подвержены более высокому риску.
- Легко управляйте биллингом и ресурсами для каждого проекта или задачи. Сотрудники могут переключаться между назначенными им аккаунтами AWS Organizations и оптимально использовать ресурсы по мере необходимости.
Ключевые особенности AWS Organizations
AWS Organizations — это сервис, который позволяет организациям определять, управлять и управлять группами учетных записей пользователей AWS, а также централизованно предоставлять услуги и политики, а также поддерживать единый счет для организации AWS и набора базовых учетных записей пользователей.
Чтобы реализовать эти возможности, AWS Organizations позволяет:
- Управляйте несколькими учетными записями AWS в разных средах. Установите границы, определяющие политики, услуги и ресурсы, используемые сгруппированными организационными единицами (OU).
- Контроль доступа и разрешений. Применяйте политики для управления идентификацией и доступомдля пользователей в зависимости от команд, бизнес-подразделений и проектов.
- Делитесь ресурсами между аккаунтами. После того, как сервис AWS создан и настроен, вы можете поделиться этим сервисом между несколькими пользователями как внутри одной организации AWS, так и за ее пределами.
- Аудит на соответствие. Ведение обширного контрольного журнала всех счетов для целей аудита.
- Управляйте стоимостью. Единый консолидированный процесс выставления счетов позволяет пользователям отслеживать, управлять и оптимизировать использование для всех учетных записей и пользовательских сред.
- Используйте бесплатно. Активация этой функции бесплатна. С аккаунтов, как обычно, взимается плата только за те сервисы AWS и ресурсы, которые они потребляют.
Недостатки AWS-организаций
AWS Organizations упрощает управление несколькими учетными записями пользователей, но также может усложнить всю систему и, возможно, привести к нарушениям безопасности.
Вот несколько рекомендаций по безопасности, предложенных AWS , чтобы убедиться, что AWS Organizations наилучшим образом подходят для управления средами с несколькими учетными записями пользователей:
- Безопасность. Используйте адрес электронной почты, управляемый вашей организацией, для корневого пользователя AWS Organizations. Используйте сложные пароли, многофакторную аутентификацию и номер телефона для восстановления аккаунта.
- Мониторинг. Примените необходимые элементы управления для отслеживания использования учетных записей пользователей root. Доступ пользователя root должен быть редким и немедленно запускать флаги в случае несанкционированного доступа.
- Ограничьте привилегии. Присоедините политику управления службами (SCP) к учетной записи пользователя root. В результате политика безопасности будет распространяться на всех пользователей AWS Organization.
Понимая, как работает AWS Organizations, вы можете избежать проблем и максимально использовать преимущества AWS.