AWS Organizations

Централизованное управление средой по мере масштабирования ресурсов AWS

Сервис AWS Organizations позволяет централизованно управлять своей средой по мере роста и изменения масштаба ресурсов в AWS. С помощью AWS Organizations можно программно создавать новые аккаунты AWS и выделять ресурсы, группировать аккаунты для упорядочения рабочих процессов, применять политики к аккаунтам или группам, чтобы управлять ими, и упрощать выставление счетов, используя один способ оплаты для всех аккаунтов.

Более того, AWS Organizations интегрирован с другими сервисами AWS, что дает возможность устанавливать централизованные конфигурации, механизмы безопасности, требования аудита и правила совместного использования ресурсов между аккаунтами вашей организации. Сервис AWS Organizations доступен всем клиентам AWS бесплатно.

Introducing AWS Organizations (1:56)

Преимущества

Быстрое масштабирование рабочих нагрузок

С помощью AWS Organizations можно быстро масштабировать среду благодаря возможности программного создания новых аккаунтов AWS. Аккаунт AWS – это контейнер ваших ресурсов. Использование нескольких аккаунтов предоставляет вам встроенные границы зоны безопасности. Также оно помогает вашим командам за счет выделенных аккаунтов, и вы можете автоматически предоставлять ресурсы и разрешения с помощью AWS CloudFormation StackSets.

Предоставляйте настраиваемые среды для разных рабочих нагрузок

Вы можете использовать Organizations для применения политик, которые предоставят вашим командам свободу компоновки с использованием тех ресурсов, которые им нужны, и при этом очертят границы зон безопасности. Упорядочивая аккаунты по организационным подразделениям (OU), которые представляют собой группы аккаунтов, предоставляющие приложение или сервис, вы можете применять политики управления сервисами (SCP) для создания целевых границ зон безопасности для каждого OU.

Централизованная безопасность и аудит среды для всех аккаунтов

Управляйте аудитом в любых масштабах с помощью AWS CloudTrail, чтобы создать неизменяемый журнал всех событий, исходящих от аккаунтов. Вы можете применять и отслеживать требования к резервному копированию с помощью AWS Backup или централизованно определить рекомендуемые критерии конфигурации для ресурсов, регионов AWS и аккаунтов с помощью AWS Config. Также вы можете воспользоваться AWS Control Tower, чтобы настроить аудит безопасности между аккаунтами или контролировать и просматривать политики, примененные к аккаунтам.

Кроме того, вы можете защитить свои ресурсы, централизованно управляя сервисами безопасности, например обнаруживая угрозы с помощью Amazon GuardDuty или отслеживая непреднамеренный доступ с помощью AWS IAM Access Analyzer.

Упрощение управления разрешениями и контроля доступа

Упростите управление разрешениями с учетом пользователей для всех пользователей организации с помощью AWS Single Sign-On (SSO) и своего Active Directory. Вы можете применять практику наименьших прав доступа, создавая специальные разрешения для категорий заданий. Вы также можете контролировать доступ к сервисам AWS, применяя политики управления сервисами (SCP) для пользователей, аккаунтов или OU.

Эффективное распределение ресурсов для аккаунтов

Вы можете уменьшить дублирование ресурсов за счет совместного использования важнейших ресурсов в организации с помощью AWS Resource Access Manager (RAM). Кроме того, сервис Organizations помогает вам соблюдать лицензионные соглашения на ПО с помощью AWS License Manager и вести каталог ИТ-услуг и пользовательских продуктов с помощью AWS Service Catalog.

Управление затратами и оптимизация использования

AWS Organizations позволяет сократить затраты и воспользоваться преимуществами скидок на количество в одном счете. Кроме того, вы можете оптимизировать использование ресурсов в организации с помощью таких сервисов, как AWS Compute Optimizer и AWS Cost Explorer

Принцип работы

Diagram_AWS-Organizations_How-It_Works_v2

Примеры использования

Автоматизация создания аккаунтов AWS и классификация рабочих нагрузок с помощью групп

Вы можете автоматизировать создание новых аккаунтов AWS, когда нужно быстро запускать новые рабочие нагрузки, добавляя их в определяемые пользователями группы в организации для мгновенного применения политик безопасности, развертывания инфраструктуры без вмешательства пользователя, а также аудита. Например, вы можете создать отдельные группы для упорядочения аккаунтов разработчиков и рабочих аккаунтов, а затем с помощью AWS CloudFormation StackSets предоставить сервисы и разрешения каждой группе.

Внедрение и обеспечение применения политик аудита и соответствия требованиям

Вы можете применять SCP, чтобы пользователи в ваших аккаунтах могли выполнять только те действия, которые отвечают вашим требованиям к безопасности и соответствию требованиям. Кроме того, вы можете создать центральный журнал всех действий, выполняемых в организации, с помощью AWS CloudTrail, просматривать и применять стандартные конфигурации ресурсов во аккаунтах и регионах AWS Regions с помощью AWS Config, а также автоматически проводить регулярное резервное копирование с помощью AWS Backup. Вы также можете воспользоваться AWS Control Tower, чтобы применить готовые правила управления безопасностью, операциями и соответствием требованиям для текущих рабочих нагрузок AWS.

Предоставление инструментов и доступа группам специалистов по безопасности и поощрение совершенствования

Вы можете использовать AWS Organizations для создания групп безопасности и предоставления им доступа для чтения ко всем ресурсам, чтобы выявить и устранить проблемы безопасности. Кроме того, вы можете дать им разрешения на управление Amazon GuardDuty, чтобы они активно отслеживали и устраняли угрозы для рабочих нагрузок, а также на управление IAM Access Analyzer, чтобы они быстро обнаруживали попытки несанкционированного доступа к вашим ресурсам.

Совместное использование общих ресурсов во всех аккаунтах

Сервис AWS Organizations облегчает совместное использование критически важных центральных ресурсов во всех аккаунтах. Например, можно предоставить общий доступ к AWS Directory Service for Microsoft Active Directory, чтобы приложения могли получать доступ к центральному хранилищу удостоверений. AWS Service Catalog позволяет обеспечить совместное использование ИТ-сервисов в назначенных аккаунтах, чтобы пользователи могли быстро находить и развертывать утвержденные сервисы. Кроме того, ресурсы приложений могут создаваться в подсетях Amazon Virtual Private Cloud (VPC). Для этого выполняется их однократное централизованное определение и предоставляется общий доступ к ним во всей организации с помощью средства AWS Resource Access Manager.

Недавние публикации и статьи

Дата
  • Дата
Подробнее...

Публикации по данной теме не найдены. Прочие ресурсы см. в блоге AWS.

Подробнее см. в блоге AWS Security.
Готовы приступить к разработке?
Начать работу с AWS Organizations
Есть вопросы?
Связаться с нами