新的名为AWS Organizations的工具目的在于帮助确保云帐户管理的安全。专家Matthew Pascucci解释了这一工具的工作原理,以及对其与AWS IAM进行了对比。
在AWS re:Invent大会上,亚马逊推出了一个新工具,帮助管理员和安全管理员控制多个云帐户。该工具名为AWS Organizations ,允许管理员创建一组AWS账户。AWS Organizations 的安全优势是什么?与AWS IAM等现有安全工具进行比较它又如何,是它们的补充吗?
AWS Organizations 目的在于允许在Amazon Web Services(AWS)中工作的云管理员更安全高效地管理帐户。通常,AWS Organizations 创建可应用于用户/组的自定义策略,以管理安全性、创建更好的自动化和简化计费。 与AWS IAM(身份和访问管理)服务有一些重叠,但它们之间更加互补,它建立了已经到位的IAM策略。
AWS Organizations 允许在新实体下进行帐户管理。此实体构建在层次结构中,策略和组织单位可以在彼此之内构建以用于管理。我不禁想到第一次看到的微软Active Directory,但它适用于任何组织单位(OU)和层次结构。每个特定的OU可以应用于它策略,并且用户/组将继承它们所在的OU策略。这也意味着每个用户/组一次只能在一个OU中,但可以应用多个策略,因为OU可以嵌套。可以通过区域、用户、组或其他元素创建组。
对于AWS IAM和AWS Organizations ,可能会有一些重叠,但你可以将Organizations 视为包含用户权限的一种方式。IAM策略仍然可以创建,甚至可以通过Organizations 推送,但它是以确定最小特权的一道防护栏。如果用户违反这些政策,则可以使用黑名单或白名单政策来限制它们。这有助于保持用户的权限和安全性,以通过分层策略实施所需的权限。AWS Organizations 是IAM策略可以用来加强安全性的框架。
使用AWS Organizations 限制了用户帐户或脚本创建的手动过程,更简化地推动了帐户创建和策略实施。这将允许使用适当的权限创建组,并限制帐户能够执行的操作。使用服务控制策略(SCP)允许管理员创建策略,并将其应用于他们选择的任何OU或用户帐户上。
当设置AWS Organizations 后,主帐户就创建成功能了,它可用于合并结算,并提供了管理组织和SCP的能力。它并不建议你在这一个帐户下执行工作;委托你实际做什么。 主帐户可以控制一切。另外,启用AWS CloudTrail来验证帐户的操作也可能是明智的。
最后,AWS Organizations 服务允许在整个组织中 合并结算后设置单一的付款方式。AWS账户创建很难管理,因为它易于使用,但AWS Organizations允许您将这些账户绑定到一个位置并使用单一付款方式。虽然帐户必须作为这个方法的一部分,但它有助于创建更简单的方法来查看要记帐的内容,来跟踪你的AWS付款。
本文转自d1net(转载)
