@liuhui0803
2017-04-01T16:32:13.000000Z
字数 2149
阅读 2162
DevOps
运维
开发
AWS
云计算
摘要:
自从re:Invent 2016大会发布预览版三个月后,Amazon Web Services最近正式发布了AWS Organizations。这个新服务可在由组织单位组成的层次结构中集中管理多个AWS帐户,并能通过细化的访问权限应用服务控制策略。AWS Organizations还取代了以往单独汇总的计费功能。
正文:
自从在re:Invent 2016大会上发布预览版三个月后,Amazon Web Services最近正式发布了AWS Organizations。这个新服务可在由组织单位(Organizational unit)组成的层次结构中集中管理多个AWS帐户,并能通过细化的访问权限应用服务控制策略。
根据Amazon Web Service首席传道士Jeff Barr的介绍,很多AWS用户出于不同原因正在同时使用多个帐户,例如需要循序渐进地在不同的部门和团队中采用云计算,或仅仅是为了“满足合规性方面的严格要求,或创建更强大的隔离壁垒”,例如创建相互严格隔离的开发、测试,以及生产环境。
在VPC peering,EC2镜像、EBS和RDS快照共享,以及通过IAM角色实现的跨帐户控制台访问等跨帐户功能帮助下,AWS早已支持相同或不同组织的帐户相互协作。然而为了对这些跨帐户功能的依赖性进行一致的管理,运维方面将很快面临挑战。
针对这种需求打造的AWS Organizations服务意在降低运维复杂度,提供“集中管理多个AWS帐户,创建由组织单位(OU)组成的层次结构,将不同帐户分配到不同OU,定义策略,随后将策略应用给整个层次结构,或也可应用给所选OU,甚至特定帐户”。
最重要的AWS Organizations概念包括:
通过选择一个主帐户创建了组织后,可通过邀请的方式添加成员帐户,或直接在组织内部创建成员帐户,此外还可以编程的方式通过CLI或API添加,这是一个大家期待已久的功能。然而虽然邀请加入组织的帐户也可以离开组织,但在组织内部直接创建的帐户无法离开,也无法删除,提到这一点是因为该服务默认限制最多可以创建20个组织帐户,如果不够用必须通过申请的方式提高限制。
曾经使用过汇总帐单(Consolidated Billing)功能的AWS客户在迁移至AWS Organization之后可以继续保留原本的功能,包括通过预留的EC2和RDS实例用量节约成本的权益以及大用量折扣。这种情况下,新增的基于策略的访问控制机制需要由主帐户选择性开启,随后需要得到所有成员帐户的确认。仅使用访问控制机制但不使用汇总帐单的做法目前尚不支持。
一个组织中的每个帐户均可分配给一个组织单位(OU),组织单位最多可支持五级层次结构。该层次结构从根容器开始,根容器是独立于组织存在的,这种设计主要是为了在未来实现对更多层次结构的支持,而这种方式正是最近刚刚发布的Amazon Cloud Directory服务的基础。
通过将服务控制策略(SCP)应用给组织层次结构中的节点,即可控制可委派给身份和访问管理(IAM)用户的操作,以及受影响帐户的IAM角色。AWS会将组织的SCP和帐户的IAM策略结合起来,强制应用两者相加后最严格的权限限制,因此受影响实体只能执行组织的SCP和帐户的管理员同时允许的操作。层次结构所应用的SCP,其衡量方式为对相同元素所应用的全部SCP进行合并,并取树结构中多个元素所继承的SCP的交集。
AWS Organizations配置的默认策略会将SCP用作黑名单:由AWS管理的FullAWSAccess
策略会在创建过程中应用给根和每个OU,除非所应用的其他SCP明确禁止受影响帐户执行特定操作,否则会明确允许所有操作。SCP还可用作白名单,为此只需将默认的FullAWSAccess
策略替换为仅明确允许所需操作的SCP即可。
在文档方面,AWS Organizations提供了用户指南,包括上手指南内容,AWS CLI参考,以及API参考。此外还有单独提供的FAQ。目前该服务免费提供,但用户需要注意,主帐户的所有者需要“为组织中所有帐户使用的所有服务、数据,以及资源付费”。该服务目前可通过AWS Organizations论坛提供支持。
作者:Steffen Opel,阅读英文原文:AWS Organizations Offers Centralized Policy-Based Account Management