Организации AWS предлагают управление множеством аккаунтов AWS на основе политик. Узнайте, как легко управлять политиками для групп аккаунтов и автоматизировать создание аккаунтов с помощью Организаций.
Аккаунты AWS – естественные границы для разрешений, безопасности, затрат и рабочих нагрузок. При масштабировании облачной среды рекомендуется использовать среду с несколькими аккаунтами. Вы можете упростить создание аккаунтов, создавая их программно через интерфейс командной строки (CLI) AWS, SDK или API, и централизованно предоставлять рекомендуемые ресурсы и разрешения этим аккаунтам с помощью AWS CloudFormation StackSets.
По мере создания новых аккаунтов их можно группировать в организационные подразделения (OU) или группы аккаунтов, которые предоставляют отдельное приложение или сервис. Применяйте политики использования тегов для классификации или отслеживания ресурсов в своей организации и обеспечьте контроль доступа пользователей к приложениям на основе атрибутов. Кроме того, можно делегировать ответственность за поддерживаемые сервисы AWS аккаунтам, чтобы пользователи могли управлять ими от имени вашей организации.
Вы можете централизованно предоставлять инструменты и доступ команде специалистов по безопасности для управления безопасностью от имени организации. Например, вы можете предоставить аккаунтам доступ только для чтения, выявлять и устранять угрозы с помощью Amazon GuardDuty, просматривать попытки несанкционированного доступа к ресурсам с помощью Анализатора доступа IAM и защищать конфиденциальные данные с использованием Amazon Macie.
Настройте Центр идентификации AWS IAM, чтобы предоставлять доступ к аккаунтам и ресурсам AWS с использованием Active Directory, и настраивайте разрешения на основе ролей. Также вы можете применить политики управления сервисами (SCP) к пользователям, аккаунтам и OU, чтобы контролировать доступ к ресурсам, сервисам и регионам AWS в своей организации.
Вы можете предоставить ресурсы AWS в совместное использование в пределах всей организации с помощью Диспетчера доступа к ресурсам AWS (RAM). Например, вы можете один раз создать подсети для виртуального частного облака AWS (VPC) и предоставить всем сотрудникам организации доступ к ним. Также вы можете централизованно подтверждать лицензии на ПО с помощью Менеджера лицензий AWS или предоставлять каталог ИТ-сервисов и пользовательских продуктов сразу нескольким аккаунтам с помощью Каталога сервисов AWS.
Вы можете применять декларативные политики для реализации долгосрочных целей, таких как базовая конфигурация сервиса AWS в вашей организации. После добавления декларативной политики конфигурация сохраняется при добавлении и применении новых функций и API независимо от контекста авторизации.
Вы можете активировать для всех аккаунтов сервис AWS CloudTrail, который создает журнал всех действий в облачной среде. Эти журналы невозможно отключить или изменить от имени аккаунтов-участников. Кроме того, можно настроить политики резервного копирования по заданному графику с помощью Резервного копирования AWS или определить рекомендуемые параметры конфигурации ресурсов для аккаунтов и Регионов AWS с помощью AWS Config.
Сервис Organizations предоставляет вам один консолидированный счет. Кроме того, вы можете просматривать показатели использования ресурсов аккаунтами и отслеживать затраты с помощью Обозревателя затрат AWS, а также оптимизировать использование вычислительных ресурсов с помощью Оптимизатора вычислительных ресурсов AWS.