AWS Organizations предоставляет вам возможность централизованного управления вашей облачной средой. Вы можете управлять аккаунтами и упорядочивать их, получая один счет, устанавливать центральные политики и требования к конфигурации для всей организации, создавать пользовательские разрешения или полномочия в организации, а также делегировать обязанности другим аккаунтам, чтобы они могли действовать от лица организации.
Более того, AWS Organizations интегрирован с другими сервисами AWS, что дает возможность устанавливать централизованные конфигурации, механизмы безопасности, требования аудита и правила совместного использования ресурсов между аккаунтами вашей организации.
Управление аккаунтами AWS
Аккаунты AWS – естественные границы для разрешений, безопасности, затрат и рабочих нагрузок. При масштабировании облачной среды рекомендуется использовать среду с несколькими аккаунтами. Вы можете упростить создание аккаунтов, создавая их программно с помощью интерфейса командной строки (CLI) AWS, SDK или API, и централизованно предоставлять рекомендуемые ресурсы и разрешения этим аккаунтам с помощью AWS CloudFormation StackSets.
Создание организации и управление ей
По мере создания новых аккаунтов их можно группировать в организационные подразделения (OU) или группы аккаунтов, которые предоставляют отдельное приложение или сервис. Применяйте политики использования тегов для классификации или отслеживания ресурсов в своей организации и обеспечьте контроль доступа пользователей к приложениям на основе атрибутов. Кроме того, можно делегировать ответственность за поддерживаемые сервисы AWS аккаунтам, чтобы пользователи могли управлять ими от имени вашей организации.
Безопасность и мониторинг аккаунтов
Вы можете централизованно предоставлять инструменты и доступ команде специалистов по безопасности для управления безопасностью от имени организации. Например, вы можете предоставить аккаунтам доступ только для чтения, выявлять и устранять угрозы с помощью Amazon GuardDuty, просматривать попытки несанкционированного доступа к ресурсам с помощью IAM Access Analyzer и защищать конфиденциальные данные с использованием Amazon Macie.
Управление доступом и разрешениями
Настройте Центр идентификации AWS IAM, чтобы предоставлять доступ к аккаунтам и ресурсам AWS с использованием Active Directory, и настраивайте разрешения на основании отдельных должностей. Также вы можете применить политики управления сервисами (SCP) к пользователям, аккаунтам и OU, чтобы контролировать доступ к ресурсам, сервисам и регионам AWS в своей организации.
Совместное использование ресурсов во всех аккаунтах
Вы можете совместно использовать важнейшие ресурсы в организации с помощью AWS Resource Access Manager (RAM). Например, вы можете один раз создать подсети виртуального частного облака AWS (VPC) и предоставить организации доступ к ним. Также вы можете централизованно принимать лицензии на ПО с помощью Менеджера лицензий AWS и совместно использовать каталог ИТ-сервисов и пользовательских продуктов с несколькими аккаунтами с помощью Каталога сервисов AWS.
Аудит среды на соответствие требованиям
Вы можете активировать AWS CloudTrail для всех аккаунтов. Этот сервис создает журнал всех действий в вашей облачной среде, и его будет невозможно отключить или изменить от имени аккаунтов участников организации. Кроме того, можно установить политики для принудительного резервного копирования по заданному графику с помощью AWS Backup или определить рекомендуемые параметры конфигурации ресурсов для аккаунтов и регионов AWS Regions с помощью AWS Config.
Централизованное управление выставлением счетов и контроль затрат
Сервис Organizations предоставляет вам один консолидированный счет. Кроме того, вы можете просматривать показатели использования ресурсов аккаунтами и отслеживать затраты с помощью AWS Cost Explorer, а также оптимизировать использование вычислительных ресурсов с помощью AWS Compute Optimizer.
Начало работы с AWS Organizations