После включения из «зон посадочных зон, организаций, бурных и многоуровневых сред», я решил «практиковать то, что я проповедую» с моими личными учетными записями AWS!
В настоящее время у меня есть 5-10 счетов для разных рабочих нагрузок (шипы, хранение персональных данных, хостинг веб-приложения и т. Д.); У меня были эти счета в течение многих лет, и я вручную использовал организации AWS через консоль для создания и управления их
Нет Ограждения или SCP были реализованы, я, вероятно, развернул и настроил несколько услуг AWS, и я, вероятно, создал IAM пользователей с широкими (*) разрешениями
Цель этого блога заключается в решении вышеупомянутых проблем; Ревертировать мои счета в зону посадки, которая следует за лучшими практиками AWS.
Приведенная ниже диаграмма показывает мою структуру текущей учетной записи
Взяты из Github Org-формирование ; AWS Организация формирования — это инфраструктура в качестве кода (IAC) инструмент для организаций AWS.
Орг-формирование оркестроизывает облачность и организации AWS для создания и ресурса счета оказание
Задачи/особенности
Задачи Файлы могут быть добавлены, чтобы включить различные автоматизированные функции, такие как:
- Организация resorityAccountaccessrole Ограничения (SCP)
- Бюджетные сигналы тревоги
- AWS доступа к ключам проверки вращения
- Включение CloudTrail.
- Централизация и благоприятное охранное обязательство
- Многие конфигурации IAM (политика пароля, FORCE MFA)
- Многие конфигурации S3 (запретить чтение и запись, включить шифрование)
- Группы безопасности VPC соответствуют (определено пользователем) Разрешить список
Этот список функций — это то, что я намерен реализовать на мои счета. Для полного списка доступных функций ОрГ-формирования, пожалуйста, обратитесь к 40 МБ PDF.
FYI по решению инструмента
Контрольная вышка? Террафор? Облачность? Орг-формирование? CDK? …
- Это не цель этого поста, чтобы перейти к детальным сравнениям этих инструментов.
Я архитектор AWS в версии 1, я испытал все вышеперечисленные инструменты, используемые для создания зон посадки для клиентов.
Орг-образование (DAPX)
Один из версий 1 посадочная зона посадочной зоны DAPX построена на орг-формирование Я использовал это для моей зоны посадки.
- Это не цель этого поста на Продать DAPX, пожалуйста, напишите мне, если вы хотите узнать больше о Дапс С
На приведенной ниже диаграмме показана структура целевой учетной записи, которая соответствует наилучшей практике и архитектуре, подробно описанной в блоге «LZS, организаций, бухгалтерских и многоуровневых сред».
Резюме развития
Орг-формирование — это очень гибкий и мощный инструментарий, для предотвращения блокировки контента я предоставим только несколько фрагментов кода/консоли для ключевых важных существ.
Роль IAM — аккаунт/вы доступа
Безопасные по умолчанию
Бюджетные сигналы тревоги
Охрана
AWS CONFIG.
Centricized AWS Config На главной учетной записи AWS Config имеет доступ ко всем учетным записям участниках/дочерних счетах. Ведро логики находится в учетной записи LogArchive, это имеет ограничения доступа и политики очистки по умолчанию AWS Config Reatings Alerts (Inc SNS Themic по умолчанию), все AWS Config управляемых правил доступны для использования
CloudTrail.
Укрывать
На приведенной ниже диаграмме показана окончательная структура учетной записи и услуги AWS, которые теперь были реализованы
Очистка на острове «Выводы конфигурации»
Эти оповещения правила конфигурации включают в себя:
- доступа-ключи — повернуты
- IAM-пароль-политика
- root-account-mfa включено
- S3-Bucket-Server-Side-Encrabption включен
- VPC-SG-Open-To-of авторизованные порта
Как только я потронул это, я буду чувствовать себя намного лучше о безопасности моих учетных записей!
Спасибо за прочтение, приветствуются конструктивные отзывы.
Оригинал: «https://dev.to/colwillis/productionize-multi-aws-accounts-org-formation-landing-zone-5h74»