随着AWS在业务策略和IT基础架构的应用越来越深入,它在每个企业内的部署所采用的方式和规模都各不相同。通常,IT开发团队的AWS部署与运行具有成百上千个用户和多个业务部门的大型IT商店的复杂性相冲突。云控制和复杂性成为主要的问题。
当个人和工作组为特定项目或应用创建帐户和AWS资源时,几乎不可能维持IT和业务流程所需要的控制。AWS Organizations是一种服务,旨在满足那些将生产工作负载和内部开发项目迁移到AWS的大型企业的需求。Organizations的管理平台针对多个AWS帐户,并为整个企业用户群体提供层次化和基于角色的策略。
回归本源
在深入了解AWS Organizations的特性之前,回顾AWS云服务的基本知识很重要。帐户是Amazon服务的主要计费实体;它们可以安全地隔离不同的AWS环境、应用和用户。在IT专业人员使用AWS之前,他必须创建一个帐户,因为它会累积服务费用。由于基于帐户的计费对于大型企业来说是有问题的, AWS将综合计费作为一个保护伞,以累积对多个子帐户的收费。
AWS Organizations在AWS re:Invent 2016上对外公布,并于2017年2月正式发布,它旨在解决大公司分层和重叠的业务单元、项目和工作组的复杂组合。IT专业人员可以为大型AWS用户简化并且自动化AWS帐户的创建。企业还可以将逻辑上连接在一起的帐户组织起来,简化用户的管理,并始终执行基于组织单元的安全策略。
虽然对于小型企业和初创企业来说AWS Organizations有些过度,但对于那些将AWS作为其核心IT基础设施的部分大型公司来说,这项服务可能是无价的。
概念与功能AWS Organizations为帐户管理引入了几个管理功能。服务将所有在中央管理下的AWS帐户组合成一个基本组织。每个组织包括:
- 使用服务的单个AWS帐户,并且可以通过AWS身份和访问管理(IAM)策略来控制用户及其角色;
- 管理和累积所有其他帐户费用的主账户;
- 组织单位(OU),使用相似策略的逻辑分组。
OU是一种管理结构,可以包括分层结构中的帐户和其他OU。但是OU层次结构并不严格,因为一个帐户可以属于多个OU。树视图功能可以让管理员浏览帐户和OU以查看分层结构并应用策略。
管理员只能使用主帐户在组织内创建其他用户帐户。他们可以使用AWS Management Console手动创建帐户,也可以使用Organizations API以编程方式创建帐户。将每个用户帐户分配给一个IAM角色,该角色定义访问和使用AWS资源的权限。主账户还可以将现有帐户邀请到一个组织,这会触发一个类似于Facebook的好友请求的过程,并需要帐户所有者的肯定响应。
使用AWS命令行接口实现自动帐户创建,并使用以下语法:
create-account
–email <value>
–account-name <value>
[–role-name <value>]
[–iam-user-access-to-billing <value>]
管理员通过两种类型的策略描述来控制组织中的帐户和资源使用:
- 组织控制策略(OCP)是一种将访问和安全策略应用于整个组织,OU或单个帐户的模板。OCP是分级的,这意味着父OU策略自动应用于所有子组织和帐户。
- 服务控制策略(SCP)使用类似于防火墙的白名单和黑名单来规范对AWS API的访问。SCP和IAM角色权限相结合来提供和管理访问。
充分利用AWS Organizations最佳实践
AWS Organizations为企业管理员提供了在粒度级别上控制资源使用的能力,这些策略适用于用户、角色、服务、API或OU。除了对IT费用进行集中财务控制的固有好处之外,AWS Organizations还降低了AWS的总体费用,因为组织内的所有帐户都被视为用于计费的帐户。这意味着它们可以共享某些资源,例如预留实例(RI),以节省资金。综合计费使您更容易获得更高的批量折扣。
例如,AWS自动对每小时和预付费用达到50万美元以上的Elastic Compute Cloud RI优惠5%。超过400万美元则优惠10%。
但管理员必须提前计划以便有效地使用AWS Organizations。在re:Invent 2016的一个分会场里,亚马逊首席技术项目经理Anders Samuelsson提供了一些最佳实践:
- 通过主帐户监视活动,但不要使用它来管理资源。只使用有AWS CloudTrail的主帐户。通过CloudTrail在主帐户中积累资源,以了解AWS的总体活动和开销。
- 在分配访问权限时使用最小特权的标准安全性做法,并使用OU来定义对帐户和用户角色的控制。这样就更容易将组织结构与AWS访问所需的级别相匹配
- 尽管SCP支持允许和拒绝规则,但请勿在同一策略中混合使用白名单和黑名单;这将导致意大利面条式的代码。在将其分配给OU之前,对单个帐户进行测试,并且不要在不进行测试的情况下部署控件。避免在主帐户上向组织基础分配过于宽泛的控制。
使用Organizations API和具有OCP和SCP的Cloud Formation模板来自动化帐户创建和策略执行。自动化确保了IAM角色和策略的一致性,并且可以预先配置选项,例如使用某些虚拟私有云和使用日志。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
翻译
相关推荐
-
AWS Organizations如何确保云帐户安全?
在AWS re:Invent大会上,亚马逊推出了一个新工具,帮助管理员和安全管理员控制多个云帐户。该工具名为AWS Organizations,允许管理员创建一组AWS账户。
-
用户与企业:AWS IAM使用的最佳时机是?
安全漏洞可能出现在云中的任何地方,甚至在可信的资源和人员的连接中。AWS IAM服务使管理员能够对内部IT员工、及外部用户、服务和应用程序定义访问权限。