#amazon-web-services
Вопрос:
Я хотел бы иметь строгое разделение между моими собственными, личными сервисами в AWS. Эти услуги можно разделить на две категории:
- Те, которые не часто меняются, но отвечают за важные для меня службы (например, конфигурация Route53 для моего основного домена),
- Те, которые являются «экспериментами» / побочными проектами, которые могут часто меняться и затрагивают несколько сервисов через платформу CloudFront/без сервера.
Каково наилучшее решение в 2021 году для решения этой проблемы? Несколько учетных записей AWS или организаций AWS или что-то еще?
Требования таковы:
- Я хотел бы, чтобы мои важнейшие услуги (первая категория услуг) были должным образом защищены, т. е. их нелегко изменить по ошибке,
- В то же время я единственный человек, который в конце концов справится с обоими, поэтому я хотел бы иметь один счет, а не отдельные.
Комментарии:
1. Обычно ppl использует организацию AWS с несколькими учетными записями.
2. Спасибо @Marcin. Итак, отдельная учетная запись AWS и собранная под эгидой организации AWS? Или 3 аккаунта (основной, тот, который «управляет» только организацией AWS, и два для реальных сервисов?)
3. ДА. Таким образом, у вас может быть 1 организация AWS с 1 учетной записью управления (основной) и 2 учетными записями участников для ваших услуг. В зависимости от того, как вы хотите работать, у вас также может быть третья учетная запись для обеспечения безопасности, в которой ваши журналы будут отображаться из учетных записей участников.
4. Это здорово и, кажется, удовлетворяет всем моим потребностям и позволяет объединять учетные записи (чего мне не хватало с идеей совершенно отдельных учетных записей). Не стесняйтесь перенести это в ответ, чтобы я мог принять его, если хотите. Спасибо!
5. Спасибо. Ответ предоставлен.
Ответ №1:
Распространенный способ решения вашего варианта использования-это использование организаций AWS. Используя AWS Org, у вас будет одна учетная запись управления и две учетные записи участников для ваших сервисов.
Это позволяет консолидировать все выставление счетов, а также настроить политики управления службами на уровне организации для управления разрешениями в вашей учетной записи участника.
Также часто используется выделенная учетная запись участника системы безопасности, которая будет центральным хранилищем различных журналов из других учетных записей.