Управление аккаунтами AWS

Аккаунты AWS – естественные границы для разрешений, безопасности, затрат и рабочих нагрузок. При масштабировании облачной среды рекомендуется использовать среду с несколькими аккаунтами. Вы можете упростить создание аккаунтов, создавая их программно с помощью интерфейса командной строки (CLI) AWS, SDK или API, и централизованно предоставлять рекомендуемые ресурсы и разрешения этим аккаунтам с помощью AWS CloudFormation StackSets.

Создание организации и управление ей

По мере создания новых аккаунтов их можно группировать в организационные подразделения (OU) или группы аккаунтов, которые предоставляют отдельное приложение или сервис. Применяйте политики использования тегов для классификации или отслеживания ресурсов в своей организации и обеспечьте контроль доступа пользователей к приложениям на основе атрибутов. Кроме того, можно делегировать ответственность за поддерживаемые сервисы AWS аккаунтам, чтобы пользователи могли управлять ими от имени вашей организации.

Безопасность и мониторинг аккаунтов

Вы можете централизованно предоставлять инструменты и доступ команде специалистов по безопасности для управления безопасностью от имени организации. Например, вы можете предоставить аккаунтам доступ только для чтения, выявлять и устранять угрозы с помощью Amazon GuardDuty, просматривать попытки несанкционированного доступа к ресурсам с помощью IAM Access Analyzer и защищать конфиденциальные данные с использованием Amazon Macie.

Управление доступом и разрешениями

Настройте Amazon Single Sign-On (SSO), чтобы предоставлять доступ к аккаунтам и ресурсам AWS с использованием Active Directory, и настраивайте разрешения на основании отдельных должностей. Также вы можете применить политики управления сервисами (SCP) к пользователям, аккаунтам и OU, чтобы контролировать доступ к ресурсам, сервисам и регионам AWS в своей организации.

Совместное использование ресурсов во всех аккаунтах

Вы можете совместно использовать важнейшие ресурсы в организации с помощью AWS Resource Allocation Management (RAM). Например, вы можете один раз создать подсети AWS Virtual Private Cloud (VPC) и предоставить организации доступ к ним. Также вы можете централизованно принимать лицензии на ПО с помощью AWS License Manager и совместно использовать каталог ИТ-сервисов и пользовательских продуктов с несколькими аккаунтами с помощью AWS Service Catalog.

Аудит среды на соответствие требованиям

Вы можете активировать AWS CloudTrail для всех аккаунтов. Этот сервис создает журнал всех действий в вашей облачной среде, и его будет невозможно отключить или изменить от имени аккаунтов участников организации. Кроме того, можно установить политики для принудительного резервного копирования по заданному графику с помощью AWS Backup или определить рекомендуемые параметры конфигурации ресурсов для аккаунтов и регионов AWS Regions с помощью AWS Config.

Централизованное управление выставлением счетов и контроль затрат

Сервис Organizations предоставляет вам один консолидированный счет. Кроме того, вы можете просматривать показатели использования ресурсов аккаунтами и отслеживать затраты с помощью AWS Cost Explorer, а также оптимизировать использование вычислительных ресурсов с помощью AWS Compute Optimizer.

Начало работы с AWS Organizations

Перейти на страницу начала работы
Готовы приступить к разработке?
Начать работу с AWS Organizations
Есть вопросы?
Свяжитесь с нами