AWS Organizations如何确保云帐户安全?

日期: 2017-03-13 作者:Matthew Pascucci翻译:蒋红冰 来源:TechTarget中国 英文

新的名为AWS Organizations的工具目的在于帮助确保云帐户管理的安全。专家Matthew Pascucci解释了这一工具的工作原理,以及对其与AWS IAM进行了对比。

在AWS re:Invent大会上,亚马逊推出了一个新工具,帮助管理员和安全管理员控制多个云帐户。该工具名为AWS Organizations ,允许管理员创建一组AWS账户。AWS Organizations 的安全优势是什么?与AWS IAM等现有安全工具进行比较它又如何,是它们的补充吗?

AWS Organizations 目的在于允许在Amazon Web Services(AWS)中工作的云管理员更安全高效地管理帐户。通常,AWS Organizations 创建可应用于用户/组的自定义策略,以管理安全性、创建更好的自动化和简化计费。 与AWS IAM(身份和访问管理)服务有一些重叠,但它们之间更加互补,它建立了已经到位的IAM策略。

AWS Organizations 允许在新实体下进行帐户管理。此实体构建在层次结构中,策略和组织单位可以在彼此之内构建以用于管理。我不禁想到第一次看到的微软Active Directory,但它适用于任何组织单位(OU)和层次结构。每个特定的OU可以应用于它策略,并且用户/组将继承它们所在的OU策略。这也意味着每个用户/组一次只能在一个OU中,但可以应用多个策略,因为OU可以嵌套。可以通过区域、用户、组或其他元素创建组。

对于AWS IAM和AWS Organizations ,可能会有一些重叠,但你可以将Organizations 视为包含用户权限的一种方式。IAM策略仍然可以创建,甚至可以通过Organizations 推送,但它是以确定最小特权的一道防护栏。如果用户违反这些政策,则可以使用黑名单或白名单政策来限制它们。这有助于保持用户的权限和安全性,以通过分层策略实施所需的权限。AWS Organizations 是IAM策略可以用来加强安全性的框架。

使用AWS Organizations 限制了用户帐户或脚本创建的手动过程,更简化地推动了帐户创建和策略实施。这将允许使用适当的权限创建组,并限制帐户能够执行的操作。使用服务控制策略(SCP)允许管理员创建策略,并将其应用于他们选择的任何OU或用户帐户上。

当设置AWS Organizations 后,主帐户就创建成功能了,它可用于合并结算,并提供了管理组织和SCP的能力。它并不建议你在这一个帐户下执行工作;委托你实际做什么。 主帐户可以控制一切。另外,启用AWS CloudTrail来验证帐户的操作也可能是明智的。

最后,AWS Organizations 服务允许在整个组织中 合并结算后设置单一的付款方式。AWS账户创建很难管理,因为它易于使用,但AWS Organizations允许您将这些账户绑定到一个位置并使用单一付款方式。虽然帐户必须作为这个方法的一部分,但它有助于创建更简单的方法来查看要记帐的内容,来跟踪你的AWS付款。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

翻译

蒋红冰
蒋红冰

TechTarget云计算主编,主要负责云计算和虚拟化网站的内容建设。长期专注于IT前沿技术,对云计算、虚拟化、人工智能、区块链等技术都有了解;对行业趋势、市场动态有一定的洞察。

相关推荐