Для тех, кто не знает услугу Организации AWS: AWS Организация, позволяет вам создавать новые учетные записи AWS и управлять этими учетными записями в центре от учетной записи, который вы использовали для их создания (главная учетная запись).
Каждая учетная запись будет иметь свой собственный идентификатор учетных записей, ресурсов и ресурсов, как и любой другой счет, вы можете получить от AWS.
Обслуживание организаций (на главном счете) также могут быть использованы для организации этих счетов в иерархической структуре и приведены ограничения и политики на конкретные счета или части иерархии организации.
Эта статья поможет вам придумать обоснование о том, как разделить свою рабочую нагрузку на разные учетные записи AWS.
На диаграмме выше вы видите примерную структуру учетной записи, разделенную в 3 организационных единицах ( Разработка , Shared и Производство ). Любое количество учетных записей может быть добавлено к этим организационным единицам. Организационные структуры могут быть намного более сложными, чем указанные выше, и некоторые компании используют это для управления 500+ учетными записями.
Использование нескольких учетных записей имеет ряд преимуществ:
Управление данными : Хранение данных на разных учетных записях позволяет легко контролировать, у кого есть доступ к каким данным. Подумайте о том, например, GDPR управляли данными: только предоставляя доступ только те людям, которые нуждаются в доступе, легко остаться — И деминтрат вы есть — в контроле.
Границы безопасности : Контроль безопасности (E.g. IAM Permissions) обычно относится только к конкретным типам ресурсов. Создание и сохранение конкретных разрешений для тех ресурсов могут быть сложной задачей. Перемещая более важные ресурсы на разные учетные записи, вы можете применить эти элементы управления целой учетной записи (или группой учетных записей). Для получения дополнительной информации читаю о: Политики управления обслуживанием
Масштабируемость : Если у вас есть ряд команд разработчиков, работающих над одной и той же учетной записью AWS, вы можете работать в ограничениях обслуживания AWS быстрее. Пример: максимальное количество ведер, которые могут содержаться в учетной записи, составляет 100. Если у каждой команды есть собственная учетная запись AWS, у вас есть 100 ведер на команду. Также команда сможет принять хорошие решения, по которым ведра могут быть удалены при необходимости.
Ограниченный радиус взрыва : Время от времени изменения могут поставляться с нежелательными побочными эффектами. Ограничение этих побочных эффектов — то, что мы называем ограничение радиуса вашего взрыва. Ресурсы, которые находятся в одном и том же счете, намного больше шансов, чтобы запутаться друг на друга или иным образом технически влиять на друг друга. Разделение вашей системы на несколько аккаунтов значительно снижает радиус вашего взрыва.
Стоимость мониторинга : Все учетные записи в организации AWS выставляются на счет, который содержит организацию. То, что вы делаете, это аналитика на вашем потраченном на счет (без необходимости делать метки!). Таким образом, вы можете точно отслеживать потраченные специальные команды или системы разработки и устанавливают бюджетные аварийные сигналы для этих счетов.
Даже если у вас нет большого количества учетных записей, он все еще может иметь смысл отделить счет в разработке от производства. Запуск на правой ноге вам очень поможет вам в состоянии расти и оставаться в управлении своими ресурсами AWS в будущем.
Доступ к ресурсу для перекрестных учетных записей
Мы только что узнали о преимуществах, имеющих многоуровневую установку. Хотя, в частности, граница жесткой безопасности, также поставляется с недостатком: при доступе к ресурсам по всем счетам, которые вы сейчас явно нуждаетесь в других учетных записях доступа к этим ресурсам.
В этом примере аккаунт B позволяет учетной записью A для ресурса
Слева см.
политика личности
: Большинство разработчиков, которые работают с AWS, знают это как роль, которую они предполагают как пользователь или роль, назначенную лямбду или другому исполняемому исполнению. Эта политика личности должна будет содержать полный ARN ресурса в счет B.Справа, вы видите, что ресурс также имеет политику:
Ресурсная политика
Отказ Все ресурсы имеют ресурсную политику, и эта политика определяет, кому разрешено получить доступ к ресурсу. По умолчанию политики ресурсов позволяют доступен в пределах одной и той же учетной записи, но для доступа к ресурсам по границам аккаунта Оба политики должны разрешить доступ Отказ
Больше информации о политиках и разрешениях IAM можно найти: https://docs.aws.amazon.com/iam/latest/userguide/access_Polyies.html.
Придумать многоусную стратегию
Как мы узнали, имеем несколько учетных записей, могут помочь нам контролировать наши AWS Resources, но также поставляется с обратной стороной. Поэтому важно придумать обоснование, когда они отделяют ресурсы на разные счета.
Разработка и производственные счета
Имеет смысл отделить ресурсы развития от производственных ресурсов:
- Вы не хотите случайно влиять на производственные системы при разработке новой функции.
- Ваша производственная система может содержать данные конфиденциальных или GDPR, которые вы не хотите разоблачить разработчикам по умолчанию.
Распространявшись на разработке и продукции в разных организационных единицах, вы сможете: создать политику, которые предотвратит падение таблиц на производство, ограничить доступ к данным или уведомлять администратора, когда разработчики доступа к производству ресурсов (роль разрыва).
Счет разработки за команду
При создании учетных записей разработки в разработке он имеет смысл иметь 1 AWS аккаунт на команду. Таким образом, члены команды могут иметь широкий набор разрешений, исправлять любые ограничения или проблемы, которые они столкнулись с их собственным аккаунтом и не будут встать на другие команды разработчиков.
Производственная учетная запись на систему
При создании производственных аккаунтов попробуйте разработать эти вокруг (суб) систем, в которых ресурсы высоко зависят друг от друга и, вероятно, должны изменяться и развернуть вместе. Многое, как один будет разработать микросервисы. При наличии зависимостей в этих системах вы можете использовать шлюз API и конечные точки HTTP в качестве общего способа развязки этих сервисов.
Для конечных точек шлюза API, которые должны быть выставлены только в вашей организации, вы также можете использовать политики ресурсов. Опять же, как идентификация вызывающего абонента и политики ресурсов Gateway API должны разрешить доступ. Для того, чтобы это работало, абоненс должен будет добавить сигнатуру AWS V4 к запросу HTTP.
Общие счета
Существуют также разные мотивы для хранения ресурсов в общих аккаунтах. Некоторые примеры ниже:
Общая учетная запись услуг Содержит повторные использованные функции/услуги/ресурсы.
Выгода:
- Хранение ресурсов, которые вы повторно используете в центральном месте, облегчают управление этими ресурсами.
Аудиторская учетная запись регистрации Содержит централизованные ведения журнала для таких услуг, как CloudTail, Config и Guardututy.
Выгода:
- Хранение журналов аудита позволяет легко получить доступ.
- Доступ к журналу аудита может также ограничиваться ролями, такими как сотрудник по безопасности.
Аккаунт регистрации приложений Содержит централизованные данные журнала и метрик для всех приложений.
Выгода:
- Хранение ведения журнала и метрик для всех функций приложений позволяет легко доступен, коррелировать и пересылать журналы.
- Одно место для настройки сигналов тревоги и предупреждает, что инженер DEVOPS на службе.
Аккаунт пользователей Содержит пользователи IAM или интеграцию с решением SSO.
Выгода:
- Наличие единой учетной записи, которая содержит всех пользователей, легко оставаться в управлении ролями IAM, ваши пользователи могут предположить.
Счет безопасности Содержит пароли, ключи API, сертификаты, открытые ключи и т. Д.
Выгода:
- Хранение секретов централизованно позволяет легко вращать секреты при необходимости.
- Наличие конкретной учетной записи, где хранятся эти секреты, позволяет вам ограничить доступ. Пример: только ваш сотрудник безопасности может быть разрешен доступ к этой учетной записи.
Управление вашей организацией AWS использует IAC
AWS предложил несколько решений для создания организации AWS (зоны посадки, зоны посадки V2 и AWS управляющей башней). Эти решения имеют общедоступные, что они позволяют создавать организацию AWS и структуру учетной записи, а также обеспечить базовую линию ресурсов AWS, используя фабрику аккаунта или торговый автомат. Однако ни один из этих услуг не позволяет вам управлять организацией AWS с использованием инфраструктуры в качестве кода (также называемой IAC). Тем не менее, с открытым исходным кодом управляемого инструмента AWS Организация формирования (или ОРГ-Формирование).
Формирование организации позволяет сохранить определение вашей Организации AWS в соответствии с исходным управлением и создать автоматический процесс для применения изменений. Автоматизация процесса внесения изменений в вашу организацию AWS удаляет ручную работу, несоответствие и ошибки. Автоматизированная инфраструктура сборки также позволяет обеспечить защиту, такие как отзывы о сверстниках по изменениям.
Проверьте это: https://github.com/OlafConijn/AwsOrganizationFormation
Вопросы, звезды, запросы на тягу и примеры приветствуются! <3
Оригинал: «https://dev.to/oconijn/off-to-a-great-start-with-aws-organizations-1i74»