Покращення управління хмарними ресурсами та безпеки: AWS Organizations.

AWS Organizations — це сервіс, який дозволяє клієнтам централізовано керувати та адмініструвати групи AWS акаунтів, а також процеси та політики, які до них застосовуються. Акаунти в кількох AWS організаціях також можуть обмінюватися ресурсами, методами безпеки, вимогами до аудиту, налаштуваннями та політиками.

У цій статті ми охопимо все, що потрібно знати про AWS Organization:

pic

Що таке AWS Organizations?

У AWS Organizations управлінський акаунт (раніше головний акаунт) — це центральний акаунт, який використовується для створення та управління організацією. Цей акаунт може створювати нові AWS акаунти в межах організації та запрошувати існуючі AWS акаунти для приєднання. Окрім управлінського акаунта, акаунти, які є частиною організації, називаються учасниками організації. Учасник може належати лише одній організації одночасно.

Коли новий учасник організації створюється в межах організації, AWS Organizations автоматично створює роль IAM з іменем OrganizationAccountAccessRole в цьому акаунті. Ця роль дозволяє користувачам з управлінського акаунта виконувати роль і отримувати адміністративний доступ до акаунта учасника. Для запрошених учасників акаунтів ви можете вручну створити цю роль для полегшення доступу.

Організація може бути додатково поділена на Організаційні одиниці (OU), які служать контейнерами для кількох AWS акаунтів, таких як Production або Development. Одиниці OU можуть бути пов'язані з набором політик, відомих як Політики керування сервісами (SCP), які можуть контролювати доступ до сервісів, що знаходяться в різних акаунтах. Організації дозволяють:

  • Консолідація білінгу акаунтів.
  • Спільна база даних користувачів IAM.
  • Політично кероване управління сервісами.

pic

Як адміністратор організації, ви маєте повноваження створювати та видаляти AWS акаунти, а також запрошувати існуючі акаунти для приєднання до вашої організації. AWS Organizations дозволяє структурувати ваші акаунти в Організаційні одиниці (OU), надаючи гнучку ієрархію, яка відповідає вашим операційним та безпековим вимогам.

Компоненти організації та ієрархія

Важливо розуміти компоненти та архітектуру, яку надає AWS Organizations, щоб ваші акаунти та групи могли повністю усвідомити його можливості. Ієрархія організації AWS пояснюється простим прикладом нижче.

pic

1. Управлінський акаунт — Управлінський акаунт відповідає за оплату всіх витрат, що виникають через акаунти учасників, а також має обов'язки акаунта платника. Цей акаунт використовується для налаштування вашої організації. Ви можете виконувати такі операції з управлінського акаунта для організації:

  • Створювати та припиняти акаунти в організації.
  • Керувати запрошеннями та запрошувати інші існуючі AWS акаунти до вашої організації.
  • Видаляти акаунти з організації.
  • Застосовувати політики до об'єктів у вашій організації (корені, OU або акаунти).
  • Інтегрувати з іншими підтримуваними сервісами AWS.

2. Організаційна одиниця (OU) —

  • Акаунти AWS в організації групуються як організаційні одиниці.
  • Одиниця OU також може містити інші одиниці OU, що дозволяє створювати ієрархію. Це дозволяє відображати структуру компанії.
  • Один акаунт не може бути доданий під дві різні одиниці OU.

3. Політика контролю сервісів (SCP) —

  • Політика контролю сервісів (SCP) — це документ, який перераховує політики, що мають бути застосовані до всіх OU, до кожного окремого AWS акаунта або до всієї організації.
  • Політика визначає сервіси та завдання, які можуть виконувати користувачі або ролі.
  • У організації ієрархічні відносини передають політики.

4. Учасникові акаунти — Решта акаунтів в організації — це всі ці AWS акаунти. Лише одна організація може мати акаунт учасника в будь-який час.
Ви можете прикріпити політику для застосування контролів безпосередньо до цього акаунта.

  • Можна безпосередньо додавати нові AWS акаунти до компанії.
  • Існуючі AWS акаунти можна запросити або додати до організації.

Терміни та концепції AWS Organizations

  1. Управлінський акаунт — Акаунт, до якого консолідовані всі рахунки, визначає організацію.
  2. Root — Кожен акаунт в організації входить до цього кореня.
  3. Організаційна одиниця (OU) — Групи одного чи кількох AWS акаунтів, а також дочірні OUs в організації.
  4. Акаунт — Учасницький акаунт, який пов'язаний з організацією.

Політика контролю сервісів (SCP)

Цей тип політики визначає, які сервіси та дії доступні користувачам (або ролям) для певних акаунтів. SCP не надає дозволів, вони діють як фільтр. Це означає, що певні права IAM вже повинні бути доступні для акаунтів, користувачів і ролей.

pic

Основні характеристики:

  1. Централізоване управління акаунтами:
  • Створення акаунтів і групування: Програмно створюйте нові AWS акаунти і організовуйте їх в Організаційні одиниці (OU), що відповідають вашій структурі бізнесу. Така ієрархічна організація дозволяє застосовувати політики і спрощує управління.

2. Політично обумовлений контроль доступу:

  • Політики контролю сервісів (SCP): Визначте і застосуйте межі дозволів для акаунтів, щоб забезпечити відповідність організаційним стандартам. SCP дозволяє вам визначати сервіси та дії, до яких можуть отримати доступ акаунти, забезпечуючи тонкий контроль над вашим середовищем.

3. Консолідоване виставлення рахунків і управління витратами:

  • Уніфіковане виставлення рахунків: Консолідуйте рахунки для всіх учасників, спрощуючи фінансове управління і надаючи загальний огляд ваших витрат в AWS. Цей підхід дозволяє ефективніше планувати бюджет і відслідковувати витрати.

4. Обмін ресурсами:

  • AWS Resource Access Manager (RAM): Обмінюйте AWS ресурси, такі як підмережі Amazon Virtual Private Cloud (VPC), між акаунтами, зменшуючи дублювання та сприяючи ефективному використанню ресурсів. Це забезпечує постійну конфігурацію і спрощує управління.

5. Безпека і відповідність:

  • Централізоване управління безпекою: Надати вашій команді безпеки доступ тільки для читання до всіх акаунтів для моніторингу, виявлення та зменшення проблем безпеки. Інтеграція таких сервісів, як Amazon GuardDuty для виявлення загроз і AWS Config для аудиту відповідності ресурсів.

6. Делеговане адміністрування:

  • Делегування сервісів: Делегуйте адміністративні обов'язки для певних AWS сервісів призначеним акаунтам в організації, дозволяючи спеціалізованим командам управляти сервісами від імені організації. Це делегування підвищує операційну ефективність і узгоджує обов'язки з експертизою команди.

Переваги:

  • Масштабованість: Легко масштабуйте ваше середовище, створюючи і керуючи кількома AWS акаунтами, як тільки ваша організація зростає, забезпечуючи, щоб ваша хмарна інфраструктура розвивалася разом з потребами бізнесу.
  • Покращена безпека: Реалізуйте послідовні політики безпеки для всіх акаунтів, зменшуючи ризик некоректних налаштувань і забезпечуючи відповідність вимогам.
  • Ефективність витрат: Оптимізуйте використання ресурсів і знижуйте витрати через консольні рахунки та спільні ресурси, що дозволяє більш стратегічно планувати фінанси та розподіляти ресурси.

Ціноутворення для AWS Organizations

AWS Organizations є безкоштовною функцією вашого AWS акаунта. Отже, кожна функція, детально описана в цьому блозі, по суті є безкоштовною, і ви можете використовувати її на будь-якому рівні, з будь-якою кількістю акаунтів, які необхідні вашому бізнесу.

Висновок

Використовуючи AWS Organizations, ви можете створити добре структуроване, безпечне і економічно ефективне хмарне середовище, яке відповідає конкретним вимогам вашої організації.

Перекладено з: Enhancing Cloud Resource Management and Security: AWS Organizations.

Вам також може сподобатися

Оволодіння типами даних Ruby: Повний посібник з прикладами коду
Штучний інтелект і оптимізація продажів: Перспектива Даніеля Рейтберга щодо розмовної аналітики
Найбільш переглянуті гравці дня — 28/01/2025

Leave a Reply

Your email address will not be published. Required fields are marked *