AWS Organizations

Централизованное управление средой по мере масштабирования ресурсов AWS

Сервис AWS Organizations позволяет централизованно управлять своей средой по мере роста и изменения масштаба ресурсов в AWS. С помощью AWS Organizations можно программно создавать новые аккаунты AWS и выделять ресурсы, группировать аккаунты для упорядочения рабочих процессов, применять политики к аккаунтам или группам, чтобы управлять ими, и упрощать выставление счетов, используя один способ оплаты для всех аккаунтов.

Более того, AWS Organizations интегрирован с другими сервисами AWS, что дает возможность устанавливать централизованные конфигурации, механизмы безопасности, требования аудита и правила совместного использования ресурсов между аккаунтами вашей организации. Сервис AWS Organizations доступен всем клиентам AWS бесплатно.

Преимущества

Быстрое масштабирование рабочих нагрузок

С помощью AWS Organizations можно быстро масштабировать среду благодаря возможности программного создания новых аккаунтов AWS. Аккаунт AWS – это контейнер ваших ресурсов. Использование нескольких аккаунтов предоставляет вам встроенные границы зоны безопасности. Также оно помогает вашим командам за счет выделенных аккаунтов, и вы можете автоматически предоставлять ресурсы и разрешения с помощью AWS CloudFormation StackSets.

Предоставляйте настраиваемые среды для разных рабочих нагрузок

Вы можете использовать Organizations для применения политик, которые предоставят вашим командам свободу компоновки с использованием тех ресурсов, которые им нужны, и при этом очертят границы зон безопасности. Упорядочивая аккаунты по организационным подразделениям (OU), которые представляют собой группы аккаунтов, предоставляющие приложение или сервис, вы можете применять политики управления сервисами (SCP) для создания целевых границ зон безопасности для каждого OU.

Централизованная безопасность и аудит среды для всех аккаунтов

Управляйте аудитом в любых масштабах с помощью AWS CloudTrail, чтобы создать неизменяемый журнал всех событий, исходящих от аккаунтов. Вы можете применять и отслеживать требования к резервному копированию с помощью AWS Backup или централизованно определить рекомендуемые критерии конфигурации для ресурсов, регионов AWS и аккаунтов с помощью AWS Config. Также вы можете воспользоваться AWS Control Tower, чтобы настроить аудит безопасности между аккаунтами или контролировать и просматривать политики, примененные к аккаунтам.

Кроме того, вы можете защитить свои ресурсы, централизованно управляя сервисами безопасности, например обнаруживая угрозы с помощью Amazon GuardDuty или отслеживая непреднамеренный доступ с помощью AWS IAM Access Analyzer.

Упрощение управления разрешениями и контроля доступа

Упростите управление разрешениями с учетом пользователей для всех пользователей организации с помощью AWS Single Sign-On (SSO) и своего Active Directory. Вы можете применять практику наименьших прав доступа, создавая специальные разрешения для категорий заданий. Вы также можете контролировать доступ к сервисам AWS, применяя политики управления сервисами (SCP) для пользователей, аккаунтов или OU.

Эффективное распределение ресурсов для аккаунтов

Вы можете уменьшить дублирование ресурсов за счет совместного использования важнейших ресурсов в организации с помощью AWS Resource Access Manager (RAM). Кроме того, сервис Organizations помогает вам соблюдать лицензионные соглашения на ПО с помощью AWS License Manager и вести каталог ИТ-услуг и пользовательских продуктов с помощью AWS Service Catalog.

Управление затратами и оптимизация использования

AWS Organizations позволяет сократить затраты и воспользоваться преимуществами скидок на количество в одном счете. Кроме того, вы можете оптимизировать использование ресурсов в организации с помощью таких сервисов, как AWS Compute Optimizer и AWS Cost Explorer

Принцип работы

Diagram_AWS-Organizations_How-It_Works_v2

Примеры использования

Автоматизация создания аккаунтов AWS и классификация рабочих нагрузок с помощью групп

Вы можете автоматизировать создание новых аккаунтов AWS, когда нужно быстро запускать новые рабочие нагрузки, добавляя их в определяемые пользователями группы в организации для мгновенного применения политик безопасности, развертывания инфраструктуры без вмешательства пользователя, а также аудита. Например, вы можете создать отдельные группы для упорядочения аккаунтов разработчиков и рабочих аккаунтов, а затем с помощью AWS CloudFormation StackSets предоставить сервисы и разрешения каждой группе.

Внедрение и обеспечение применения политик аудита и соответствия требованиям

Вы можете применять SCP, чтобы пользователи в ваших аккаунтах могли выполнять только те действия, которые отвечают вашим требованиям к безопасности и соответствию требованиям. Кроме того, вы можете создать центральный журнал всех действий, выполняемых в организации, с помощью AWS CloudTrail, просматривать и применять стандартные конфигурации ресурсов во аккаунтах и регионах AWS Regions с помощью AWS Config, а также автоматически проводить регулярное резервное копирование с помощью AWS Backup. Вы также можете воспользоваться AWS Control Tower, чтобы применить готовые правила управления безопасностью, операциями и соответствием требованиям для текущих рабочих нагрузок AWS.

Предоставление инструментов и доступа группам специалистов по безопасности и поощрение совершенствования

Вы можете использовать AWS Organizations для создания групп безопасности и предоставления им доступа для чтения ко всем ресурсам, чтобы выявить и устранить проблемы безопасности. Кроме того, вы можете дать им разрешения на управление Amazon GuardDuty, чтобы они активно отслеживали и устраняли угрозы для рабочих нагрузок, а также на управление IAM Access Analyzer, чтобы они быстро обнаруживали попытки несанкционированного доступа к вашим ресурсам.

Совместное использование общих ресурсов во всех аккаунтах

Сервис AWS Organizations облегчает совместное использование критически важных центральных ресурсов во всех аккаунтах. Например, можно предоставить общий доступ к AWS Directory Service for Microsoft Active Directory, чтобы приложения могли получать доступ к центральному хранилищу удостоверений. AWS Service Catalog позволяет обеспечить совместное использование ИТ-сервисов в назначенных аккаунтах, чтобы пользователи могли быстро находить и развертывать утвержденные сервисы. Кроме того, ресурсы приложений могут создаваться в подсетях Amazon Virtual Private Cloud (VPC). Для этого выполняется их однократное централизованное определение и предоставляется общий доступ к ним во всей организации с помощью средства AWS Resource Access Manager.

Клиенты

Samsung

«С помощью сервиса AWS Organizations мы можем предоставить каждой команде собственную среду в отдельной учетной записью, позволяя им работать параллельно и при этом не затрагивать прочие команды или конвейеры, что, в конечном итоге, ускоряет процесс разработки. Учетные записи группируются на подразделения исходя из структуры компании, и можно поддерживать три стандартных этапа разработки приложений. В результате скорость работы по проектам, перенесенным в облако, выросла в 5 раз, количество инцидентов с доступом к IAM сократилось в 10 раз, а также стало в 3 раза меньше проблем со стабильностью. Все это обеспечили простые API от AWS Organizations». 

Гаурав Джайн, директор, облачная платформа FactSet

Samsung

«GoDaddy при поддержке AWS Organizations может внедрить стабильную защиту всех учетных записей и позволить нашим командам приложений работать в собственном темпе. Например, на уровне организации мы используем AWS Config для мониторинга и сбора сведений о конфигурации инфраструктуры. Мы способны следить за затратами и поддерживать финансирование по мере разработки новых приложений, а также давать определенные среды разработки, предоставляя командам аккаунты для этапов "песочницы", тестирования и производства. Мы создали пользовательские приложения, которые помогают разработчикам уверенно развертывать ресурсы в соответствии со стандартами GoDaddy и легко распространять между аккаунтами с помощью интеграции AWS Service Catalog».

Кетан Патель, главный директор по разработке ПО, GoDaddy

Samsung

«GE использует сервисы AWS Identity для поддержки глобального предприятия и обеспечения безопасной работы в облаке. AWS Organizations и политики управления сервисами (SCP) обеспечивают вертикальное управление и позволяют делегировать контроль над политикой ресурсов и идентификации каждому бизнес-подразделению. Эта модель позволяет предприятиям развиваться независимо и работать в масштабах, подходящих для решения современных промышленных задач».

Мэтью Грин, старший директор по облачной архитектуре, GE

Samsung

«С AWS Organizations нашему финансовому отделу легче отслеживать облачные расходы, так как сервис предоставляет единый счет и позволяет получать скидки на объем и более низкие цены в рамках тарифов AWS Savings Plans. Кроме того, использование единого входа в систему (SSO) AWS вместе с AWS Organizations позволило нам централизовать процесс аутентификации в нашем поставщике идентификаторов (IdP), что в значительной степени улучшило повседневную работу сотрудников, ведь им не нужно хранить несколько наборов учетных данных для доступа к разным аккаунтам AWS. А команда по безопасности инфраструктуры объединила управление доступами, благодаря чему повысилась безопасность платформы и сократились операционные затраты».

Рокко Занни, технический директор, Spreaker

Samsung

«Мы начали использовать AWS Organizations, чтобы управлять аккаунтами в нашей многоаккаунтной среде и упростить процесс выставления счетов. Мы также значительно облегчили управление доступом с помощью интеграции AWS SSO. AWS Organizations позволяет изолировать рабочие нагрузки с похожими угрозами в их собственном аккаунте, идентифицировать владельцев с помощью тегов и применить меры при помощи политик управления сервисами (SCP), которые не могут быть изменены администраторами аккаунтов участников. Теперь мы быстро и безопасно создаем новые аккаунты, позволяя нашим разработчикам сосредоточиться на бизнес-решениях».

Хайме Вильегас, руководитель отдела корпоративных услуг, Bancolombia

Недавние публикации и статьи

Дата
  • Дата
Подробнее...

Публикации по данной теме не найдены. Прочие ресурсы см. в блоге AWS.

Подробнее см. в блоге AWS Security.
Готовы приступить к разработке?
Начать работу с AWS Organizations
Есть вопросы?
Связаться с нами