Jak skonfigurować AWS Organizations?

W tym zadaniu dowiesz się jak skonfigurować AWS Organizations, aby móc w sposób przemyślany zarządzać swoimi kontamia AWS.

Dzięki tej usłudze będziesz w stanie sprawnie zarządzać swoją multi-accountową infrastruktura (uwierz mi, będziesz używać więcej niż jednego konta AWS).

Dodatkowo poznasz czym są Service Contro Policies, oraz jak dzielić konta na Organizations Unity.

Video tutorial

KROKI DO WYKONANIA TEGO ZADANIA

KROK 1: Włącznie AWS Organizations

Szybka sprawa, wystarczy kliknąć: Create an organization. W przypadku tej usługi nie wybierasz regionu, jest to serwis typu Global.

KROK 2: Utworzenie dodatkowych kont AWS

Teraz w zależności od tego co chcesz robić, warto utworzyć kilka kont. Na początek polecam minimum:

  1. Konto na logi CloudTrail
  2. Konta użytkowe np. Developerskie itp.

Dla każdego konta potrzebujesz mieć oddzielny adres email.

KROK 3: Utworzenie Organization Unit (OU)

Warto od początku przemyśleć hierarchie kont. Być może na użytek własny nie jest to konieczne, jednak w przypadku wykorzystania projektowego może się to przydać.

W tym wypadku nie ma jednego podejścia. Na początek może wystarczy prosty podział funkcjonalny:

  • OU-PROD
  • OU-DEV
  • OU-TEST
  • OU-COMMON

W innym wypadku może być to np. podział per business unity, czy inne hierarchie, które powiązane są z firmowymi procesami, rozliczeniami itp.

KROK 4: Konfiguracja Service Control Policies (SCP)

To Twoja dodatkowa broń w aspekcie bezpieczeństwa i określania poziomu dostępu do zasobów i usług. Scenariuszy zastosowania jest masa. W internecie możesz też znaleść wiele użytecznych przykładów jak np.:

  • Kontrola Regionów w których uruchamiane będą zasoby,
  • Określenie listy dostępnych usług AWS, które “dozwolone” są w ramach Twojej firmy,
  • Kontrola typów serwerów jakie moga być uruchamiane,
  • i wiele innych.

Poniżej przykład SCP, która zabrania opuszczenia naszej organizacji.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Deny",
			"Action": [
				"organizations:LeaveOrganization"
			],
			"Resource": "*"
		}
	]
}

Polityka blokujące opuszczenie Organizacji.

KROK 5: Aktywacja usług na poziomie AWS Organizations.

Część usług może działać na poziomie całej organizacji w multi-accountowym środowisku.

Warto rozważyć, które z tych rozwiązań mogą być przydatne dla Ciebie.

Minimalnie na START warto włączyć:

  • CloudTrail,
  • CloudFormation StackSets
  • AWS IAM Identity Center (AWS Single Sing-On)

BRAWO, Twoja Organizacja jest gotowa do działania

Dodatkowe Materiały

AWS Organizations Dokumentacja – https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html

Mutli-accoun for SMB – https://aws.amazon.com/blogs/mt/multi-account-strategy-for-small-and-medium-businesses/

Poprzednia

Jak założyć konto

Następna

AWS IAM Identity Center