04-AWS Organizations

文 | 沉默恶魔(禁止转载,转载请先经过作者同意)
微信号:chenmoemo
关注公众号:AWS爱好者

【 Domain 1的组织复杂性设计(Design for Organizational Complexity)】——AWS Organizations

AWS解决方案架构师认证 Professional / AWS Certified Solutions Architect– Professional系列的课程的最终目的是帮助大家顺利通过新版考试。随着后续系列课程的持续深入,我们的目标是将所有新版考试涉及到的内容、考点逐步推出系列课程,帮助大家备考。此系列课程也同样适用于想了解和学习AWS的同学,请大家多多支持。

Hello大家好,欢迎回来,我们今天介绍AWS Organizations的内容。在您的企业是多AWS账户环境时,AWS Organizations服务是我们非常推荐采用的服务之一。我们开始今天的内容。

首先,什么是AWS Organizations?AWS Organizations 是一项账户管理服务,使您能够将多个 AWS 账户整合到您创建并集中管理的组织中。包含账户管理和整合账单功能,可利用这些功能更好地满足企业的预算、安全性和合规性需求。

AWS Organizations的主账户和成员账户

为了能够更好的理解后面AWS Organizations的内容,我们先介绍下什么是AWS Organizations的主账户和成员账户。

主账户是创建组织的AWS账户,你在一个AWS账号中创建了组织,那么这个AWS账号就是主账户,在主账户中可以进行创建账户,邀请其他账户加入组织、删除账户,将策略应用到组织内的实体,比如(根、OU 或者账户)等;

那成员账户是什么呢,加入了组织,属于组织的其他账户称为成员账户。
这是主账户和成员账户的概念。我们继续

AWS Organizations两个功能集

AWS Organizations可用的功能集,主要有两个:

1、提供了 所有功能 – 这是AWS Organizations 可用的默认功能集。它包括整合账单的所有功能,此外还包括高级功能,可让您更好地控制组织中的账户。例如,当启用了所有功能时,组织的主账户将能够完全控制成员账户可以执行的操作。主账户可以应用 SCP 来限制成员账户中的用户和角色可以访问的服务和操作,这里限制的用户包括根用户在内。

2、整合账单功能 – 您可以使用组织的主账户整合和支付所有成员账户。它不包括上面提到的使用策略限制不同账户中的用户和角色可以执行的操作。要使这些功能,您必须启用组织中的所有功能。

我们后面的课程将分别对这两部分功能集进行演示

服务控制策SCP(Service control policy)

我们先介绍一下AWS Organizations部分的重要知识点—服务控制策略,也就是SCP(Service control policy)
我们还是拿之前的在前面课程出现过的两个AWS账户来举例(下图)左边的账户,账户id尾数为0960,我们在这个账户创建了组织,所以是主账户,右边的账户是已经加入了组织的成员账户,账户ID尾数为2732。

当我们创建了组织后,会自动创建一个根,也就是ROOT,它是组织所有账户的父容器,什么意思呢,如果将策略附加到根,则它应用于组织中的所有OU和账户。

那服务控制策略都能应用到组织的哪些地方呢:

  1. 可以用到到 – 应用到根的策略会应用于组织中的所有账户
  2. 还可以应用到 OU – 应用于 OU 的策略会应用于 OU 及其任何子 OU 中的所有账户
  3. 也可以直接应用到 账户,就是我们这个例子– 应用于账户的策略仅应用于这一个账户

我们举例说明下,我们假设在主账户中定义了策略,策略的内容是禁止访问s3服务,我们将它应用到这个成员账户,将会发生什么呢?应用之后,在成员账户中,所有用户将不能访问S3的任何功能,即使是这个成员账户的根用户,也没有任何S3的权限。请牢记这部分内容。

快速演示

接下来我们快速演示下,我们来到了主账户的AWS Organizations管理控制台,我们可以看到两个账户,前面带星号的是主账户,也就是我们现在当前登陆的账户;下面这个账户是已经加入了我们创建的组织的成员账户,账户ID列分别列出了对应的账户ID。

我们选择成员账户,然后看下它的策略,在控制台右边的服务控制策略中,我们展开它:

可以看到成员账户已附加了两个策略,一个是FullAWSAccess,另一个是denys3,这个denys3策略就是我们添加的策略,策略的内容是禁止s3的所有访问。我们回到前面的内容在看一下。

目前我们已经在主账户组织中创建了一个denys3策略,策略的内容是禁止s3的所有访问,并将这个策略附加到了成员账户上面。
接下来我们将要登陆成员账户,账户ID尾数为2732,我们看下成员账户的ROOT用户是否可以访问S3存储桶。

我们已经使用根用户登陆成员账户,登陆成功后进入管理控制台,可以看到我们当前的用户是成员账户的根用户。
主账户已经将禁止访问S3的策略附加到了这个成员账户,我们接下来就看下是否可以访问S3服务

我们进入到S3服务,可以看到访问禁止,无法访问S3,说明我们前面的服务控制策略已经生效了。也就是说,当AWS Organizations的主账户将服务控制策略内容为禁止S3访问的策略分配给成员账户后,即便是成员账户的ROOT用户,也会受到策略限制,无法访问S3服务。

我们在访问下EC2控制台,没有任何问题,除了S3,根用户访问其他服务不受denyS3策略影响。

我们接下来快速演示下AWS Organizations的第二个功能集,整合账单。

我们现在的账户已经开启了整合账单功能,我们来看一下,通过在成员账户控制台右上角,访问我的账户-整合账单,显示您的账户已经成为组织成员,说明已经启动了整合账单功能。

我们现在切换到组织的主账户,然后看下主账户的账单部分,然后通过按账户显示的账单详细信息。

我们看到了有两个账户,就是我们的主账户及加入组织的aws账户的账单,通过分别展开对应的账户,可以看到对应账户下的详细账单信息,这就是AWS Organizations整合账单功能。

以上就是我们今天的课程内容, 我们介绍了AWS Organizations服务,对于AWS Organizations的两个功能做了一个演示,在下节课,我们将进行实操演示,从头开始使用AWS Organizations 创建组织,创建策略并应用策略等内容。

希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助,如您有任何疑问,请联系我们:

可以通过扫码加入【AWS爱好者】微信公众号,查看原创的AWS知识点相关文章;
加入【AWS爱好者】微信群,和其他同学一起备考,以及探讨交流AWS相关知识;
加入【AWS知识星球】持续学习;
我们今天的课程就到这里,感谢大家的观看,我们下一课程再见。

0 responses on "04-AWS Organizations"

Leave a Message

error: Content is protected !!