05-创建AWS Organizations&SCP

文 | 沉默恶魔(禁止转载,转载请先经过作者同意)
微信号:chenmoemo
关注公众号:AWS爱好者

【 Domain 1的组织复杂性设计(Design for Organizational Complexity)】——创建AWS Organizations&SCP

AWS解决方案架构师认证 Professional / AWS Certified Solutions Architect– Professional系列的课程的最终目的是帮助大家顺利通过新版考试。随着后续系列课程的持续深入,我们的目标是将所有新版考试涉及到的内容、考点逐步推出系列课程,帮助大家备考。此系列课程也同样适用于想了解和学习AWS的同学,请大家多多支持。

Hello大家好,欢迎回来,我们今天课程的内容是从头开始创建一个AWS组织,加入组织,以及演示AWS组织的两个功能集的内容。

演示环境

为了演示我们准备了两个AWS账户,左边的账户我们使用safari浏览器登陆,准备创建组织,作为主账户;
右边的账户我们使用google chrome浏览器登陆,作为加入组织的成员账户。

我们现在已经分别使用根账号登陆了两个AWS账户,然后通过管理控制台右上角支持-支持中心,我们分别可以看到两个账户对应的账户ID

创建组织

我们要在左边的这个账户上创建AWS组织,我们现在打开AWS Organizations管理控制台,点击创建组织。

可以选择将要创建组织的功能集,共有两个功能集,一个是仅具有整合账单功能的组织,一个是启用所有功能的组织。可以通过在页面中进行切换。如果您只需要整合账单功能,那么选择创建仅具有整合账单功能的组织即可;如果您需要启用所有功能的组织,既包括整合账单功能,又需要基于策略控制的功能,您需要启用所有功能。

我们的演示选择创建启用所有功能的组织,选择后点击创建组织。

好的,现在组织已经创建完了,这里会看到一个默认账户作为主账户,也就是我们当前的AWS账户。

我们要使用AWS组织的整合账户以及策略控制功能,我们就需要添加其他账户进来作为成员账户,点击添加账户,
在这里可以邀请现有账户,以及创建新的账户,因为我们已经有一个想要作为成员账户的AWS账户,所以我们选择邀请账户。

邀请账户加入组织

在电子邮件或者账户ID输入框中输入您要邀请的账户信息,我们将google chrome浏览器的账户id复制进来,邀请它加入组织。

这里要说明一个情况,也是大家可能会遇到的一个问题,如果您的AWS组织是刚刚创建的,AWS需要一段时间进行初始化,AWS官方的说明是需要1个小时,但是在实际的情况中很多反馈都需要24小时以上才能完成初始化。如果AWS没有初始化完成,在你进行邀请账户的时候,可能会提示“您超出了组织的账户限制或因组织仍在初始化而无法添加账户或类似的信息,如果您遇到了这个问题且等了很久还是这个提示,需要联系 AWS Support解决。

我们现在已经向2732这个账户成功发送了邀请,我们现在要做的,切换到google chrome浏览器。

进入到AWS Organizations管理控制台。会看到有一个新的邀请,这个邀请请求的控制是启用所有功能,我们点击接受,然后确认。

然后会看到页面上会有组织的ID等信息,当完成后,我们切换到主账户浏览器,刷新下,可以看到刚刚添加的账户已经成功加入了AWS组织。

整合账单

我们看下aws组织整合账单功能是否启用。

我们在切换到成员账户的浏览器,访问我的账单控制面板-整合账单,显示“您的账户现已成为组织成员”,整合账单功能已经成功启用了。

这样就实现了整合账单功能,在主账户上查看组织的账户的账单及统一支付账单,我们就不在这里演示了。

策略控制

好的,我们接下来开始策略控制内容,首先我们配置一个服务控制策略,然后将它应用到我们的成员账户,最后使用root账户登录成员账户,看一下策略生效情况。

我们现在开始配置策略,切换到在主账户浏览器,进入AWS Organizations管理控制台,策略—选择服务控制策略 ,然后启用服务控制策略。可以看到当前有一个FullAWSAccess策略,这个策略是默认策略,会附加到每个根、OU 和账户,策略内容是允许所有操作和所有服务。

我们开始创建策略,点击创建策略,我们将创建一个禁止访问s3的策略。

策略名称,我们输入denys3;
然后策略部分,选择要添加操作的服务,选择S3,然后我们选择all actions。
添加资源,服务选择S3,资源类型选贼all resources, 添加。

确认下策略的内容,没有问题,创建。
这样我们的策略就创建完成了,我们现在把这个策略附加到成员账户。

回到AWS组织的账户页面,选择成员账户,然后选择服务控制策略

看到了两个策略,一个是默认的FullAWSAccess策略,默认会附加到成员账户,另一个denys3是我们刚刚创建的策略。

在我们附加denys3策略前,我们先使用root用户登录成员账户,看下现在是否能否访问S3。

我们切换到成员账户的浏览器,进入到S3,可以正常访问S3。

接下来,我们在主账户的AWS组织管理控制台,将denys3策略附加到成员账户上。

附加后,现在成员账户应该无法访问S3服务,我们切换到成员账户浏览器,我们使用的是根用户登录的,访问下s3,无法访问。

所以,如果在aws组织主账户中附加了一个策略到成员账户,即便是成员账户的root用户,也会受到这个策略的限制。

好的,希望大家能够通过今天的内容熟悉了AWS Organizations服务,它是一个非常棒的服务,通过整合账单或者策略控制能够为您的组织带来很多帮助。

您也可以通过AWS组织的服务控制策略,为企业多账户环境提供安全保障,比如,创建策略内容为禁止所有成员账户禁用aws cloudtrail服务,然后将所有成员账户的cloudtrail操作日志都集中存储至一个中央S3存储桶,集中存储和分析账户的操作日志。

希望AWS Organizations能够帮助您在AWS上构建您所需安全控制及安全体系。

以上就是我们今天的课程内容, 我们从头开始创建了aws组织,并邀请账户加入组织,演示了整合账单以及策略控制内容。在当前的AWS SAP认证考试中,AWS Organizations的题目在考试中出现的几率非常高,尤其是服务控制策略部分,考试中会对服务控制策略的应用场景和IAM有什么不同?或者策略应用到成员账户后根用户是否受到策略的影响,会将这些知识点虚拟一个场景出来,考察考生。

好了,希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助,如您有任何疑问,请通过以下方式 请联系我们:

可以通过扫码加入【AWS爱好者】微信公众号,查看原创的AWS知识点相关文章
加入【AWS爱好者】微信群,和其他同学一起备考,以及探讨交流AWS相关知识
加入【AWS知识星球】持续学习。
我们今天的视频课程就到这里,感谢大家的观看,我们下一课程再见。

0 responses on "05-创建AWS Organizations&SCP"

Leave a Message

error: Content is protected !!