- Управление и администрирование›
- Организации AWS›
- Возможности
Возможности организаций AWS
Темы страниц
Возможности
Открыть все
Аккаунты AWS – естественные границы для разрешений, безопасности, затрат и рабочих нагрузок. При масштабировании облачной среды рекомендуется использовать среду с несколькими аккаунтами. Можно упростить создание учетных записей, программно создав новые учетные записи с помощью интерфейса командной строки (CLI) AWS, пакетов SDK или API и централизованно выделяя рекомендуемые ресурсы и разрешения этим учетным записям с помощью AWS CloudFormation StackSets.
По мере создания новых аккаунтов их можно группировать в организационные подразделения (OU) или группы аккаунтов, которые предоставляют отдельное приложение или сервис. Применяйте политики использования тегов для классификации или отслеживания ресурсов в своей организации и обеспечьте контроль доступа пользователей к приложениям на основе атрибутов. Кроме того, можно делегировать ответственность за поддерживаемые сервисы AWS аккаунтам, чтобы пользователи могли управлять ими от имени вашей организации.
Вы можете централизованно предоставлять инструменты и доступ команде специалистов по безопасности для управления безопасностью от имени организации. Например, вы можете обеспечить безопасный доступ к учетным записям только для чтения, выявлять и устранять угрозы с помощью Amazon GuardDuty, проверять непреднамеренный доступ к ресурсам с помощью IAM Access Analyzer и защищать конфиденциальные данные с помощью Amazon Macie.
Настройте AWS IAM Identity Center для предоставления доступа к аккаунтам и ресурсам AWS с использованием предпочтительного источника идентификации и настройте разрешения на основе отдельных должностных ролей. Политики управления сервисами (SCP) можно использовать, чтобы централизованно обеспечивать согласованные средства контроля доступа для доверителей во всех аккаунтах организации. Политики управления ресурсами (RCP) также можно использовать, чтобы централизованно обеспечивать согласованные средства контроля доступа для ресурсов во всех аккаунтах организации. Кроме того, можно использовать политику в отношении чат-ботов для контроля доступа к аккаунтам организации из приложений для чата, таких как Slack и Microsoft Teams.
Ресурсами AWS можно делиться в своей организации с помощью AWS Resource Access Manager (RAM). Например, можно создать подсети AWS Virtual Private Cloud (VPC) один раз и поделиться ими со всей организацией. Вы также можете централизованно согласовать лицензии на программное обеспечение в AWS License Manager и поделиться каталогом ИТ-сервисов и специализированных продуктов для разных аккаунтов в AWS Service Catalog.
Вы можете применять декларативные политики для реализации долгосрочных целей, таких как базовая конфигурация сервиса AWS в вашей организации. После добавления декларативной политики конфигурация сохраняется при добавлении и применении новых функций и API независимо от контекста авторизации.
AWS CloudTrail можно активировать для разных аккаунтов, что создаст журнал всех действий в облачной среде, который учетные записи участников не могут отключить или изменить. Кроме того, с помощью AWS Backup можно настроить политики, обеспечивающие выполнение резервного копирования с заданной периодичностью, или определить рекомендуемые параметры конфигурации ресурсов в разных аккаунтах и регионах AWS с помощью AWS Config.
Сервис Organizations предоставляет вам один консолидированный счет. Кроме того, вы можете просматривать использование ресурсов в разных аккаунтах и отслеживать расходы с помощью AWS Cost Explorer, а также оптимизировать использование вычислительных ресурсов с помощью AWS Compute Optimizer.
Нашли то, что искали сегодня?
Скажите, как улучшить качество контента на наших страницах