Migracja kont AWS pomiędzy organizacjami

Migracja kont AWS pomiędzy organizacjami

Lukasz Dorosz
Ponad 14 lat w branży IT. Konsultant i architekt projektów Amazon Web Services. Entuzjasta rozwiązań serverless. Współtwórca AWS User Group (3500+ osób). AWS Community HERO. Masz pytanie, napisz do mnie.
pl flag
en flag
Voiced by Amazon Polly

Odchodzisz z firmy – zabierz swoje konto

To zapewne jeden z powodów dla których może się pojawić potrzeba przenoszenia kont między organizacjami.

Niektóre firmy stosuję politykę nadawania kont „laboratoryjnych” dla każdego z pracowników, aby Ci mogli eksperymentować z możliwościami jakie daje AWS.

Z pewnością powodów migracji lub dołączenie może być wiele, jak np.:

  • Jedna firma kupuje drugą i chce przenieść systemy do swojej organizacji,
  • Przy bardzo dużej skali, podział na większą liczbę organizacji,
  • Duża ilość danych do przeniesienia
  • itp.

Mówiąc o organizacji mam na myśli usługę AWS Organizations, która pozwala zarządzać większą ilością kont AWS.

Zatem, przejdźmy do konkretów. 

Miałem ostatnio potrzebę przeniesienia swoje laboratoryjnego konta z organizacji A do organizacji B. Stwierdziłem, że dużo łatwiej i szybciej będzie pewnie przepiąć całe konto, niż kopiować i przenosić różnego rodzaju zasoby jak jakieś testowe lambdy, skryptu czy np. środowisko Cloud9, którego używam do różnych rzeczy.

To ostatnie akurat można by dość łatwo przenieść, ale to już może zostawmy na inny wpis 😎

CO JEST POTRZEBNE DO PRZEPIĘCIA KONTA

Aby udało Ci się przepiąć konto potrzebujesz kilka rzeczy, głównie chodzi o odpowiedni dostępy:

  • Pełny dostęp do konta, które będzie przenoszone. Mowa tutaj o dostępie ROOT, ponieważ trzeba tam będzie zmienić kilka rzeczy w konfiguracji samego konta.
  • Administracyjny dostęp do Organizacji, do której będzie przyłączane powyższe konto AWS.
  • Być może będziesz potrzebować zrobić kopie raportów, czy historii billingowej (o ile jest Ci to potrzebne).
  • Karta płatnicza – na czas odpięcia trzeba będzie ją wprowadzić.
  • Opcjonalnie – potrzebny Ci będzie również nowy adres email jeśli do obecnego nie będziesz już mieć dostępu.

Mając te rzeczy przygotowane, można rozpocząć proces przenoszenia. Pierwsze kroki rozpoczynają się na koncie, które będzie przepinane.

KROK 1: OPUSZCZENIE ORGANIZACJI

W celu opuszczenia organizacji, należy zalogować się na konto (użytkownikiem root, lub IAM userame z uprawnieniami administracyjnymi).

Następnie należy przejść do usługo AWS Organizations, gdzie powinien pojawić się komunikat, o tym, że konto należy obecnie do organizacji.

Naciskając przycisk Leave organization, pojawi się komunikat, w którym będzie prośba o podanie kilku dodatkowych informacji. Moje konto zostało utworzone z poziomu organizacji, w związku z tym musiałem właśnie uzupełnić kilka danych zanim mogłem opuścić organizacje.

Część z tych kroków wygląda identycznie jak w przypadku zakładania konta. Należy zaakceptować umowę, podać dane karty płatniczej oraz oczywiście przejść weryfikację telefoniczną oraz wybrać opcję planu wsparcia.

Po wykonaniu tych kroków będziesz w stanie teraz jeszcze raz nacisnąć przycisk i już z powodzeniem opuścić obecną organizację.

Możesz od razu przejść do zakładki My Account (prawy górny róg) i od razu podmienić takie informacje jak np. dane kontaktowe, czy adres email konta ROOT.

Od razu zanotuj sobie id konta, będzie Ci potrzebne w kroku nr 2.

Teraz druga cześć, która będzie wykonywana po stronie nowej organizacji.

KROK 2: PRZYŁĄCZENIE DO NOWEJ ORGANIZACJI

W tym celu logujesz się na konto w którym skonfigurowana jest organizacja do której będziesz przypinać swoje konto. Oczywiście zaloguj się użytkownikiem, który ma uprawnienie do zarządzania daną organizacją.

Znów wchodzimy do usługi AWS Organizations i tym razem klikamy And account, a następnie wybieramy opcję Invite Account

Należy podać adres email lub Account ID  i klikamy Invite.

Dalsza część znów odbywa się po stronie konta migrowane.

KROK 3: AKCEPTACJA ORAZ KONFIGURACJA

Na adres email ROOT, konta przepinanego przyjdzie informacja o zaproszeniu do nowej organizacji. Należy zweryfikować czy dane organizacji zapraszającej się zgadzają. 

Jeśli wszystko jest OK, wystarczy kliknąć Accept.

Teraz wystarczy sprawdzić, czy konto pojawiło się w nowej organizacji. 

Dalsza cześć konfiguracji zależy mocno od danego środowiska. Być może jakieś kwestie umiejscowienie konta w odpowiednim OU lub nałożenia odpowiednich polityk.

Oczywiście należy pamiętać o kwestiach logowania na konto. W moim przypadku jest to usługa AWS SSO. Dlatego niezbędne było jeszcze ustawienia nowego konta i dodanie możliwości logowania w sso.

Być może pojawią się na koncie inne rzeczy, więc warto sprawdzić szczególnie to z czego się korzysta. W moim przypadku Cloud9 wymagał też drobnej resuscytacji (kwestie uprawnień). 

PS. Ciekawe jestem, czy Ty używasz Cloud9? Jeśli tak to do czego?

Cheers!



5 USŁUG AWS, KTÓRE WARTO POZNAĆ.