Setiap orang yang telah bekerja dengan AWS sangat menyadari keberadaan akun - akun di mana sebenarnya pekerjaan berlangsung - alokasi sumber daya, diferensiasi hak akses, dan sebagainya. Seringkali perlu membuat beberapa akun - apakah itu akun terpisah untuk berbagai departemen perusahaan atau akun terpisah untuk proyek atau bahkan untuk lingkungan yang berbeda dari satu proyek (pengembangan, pengujian, operasi). Untuk manajemen akun, AWS menyediakan Organisasi AWS, yang memungkinkan Anda membuat akun baru, mengalokasikan sumber daya, mengoptimalkan pembayaran tagihan dengan mengatur satu metode pembayaran untuk semua akun, membuat grup akun, dan menerapkan kebijakan kepada mereka untuk mengelola alur kerja secara efisien.
Namun, Organisasi AWS saja tidak cukup untuk mengelola akun. Ada keinginan tidak hanya untuk membuat akun, tetapi untuk membuatnya sehingga memenuhi norma dan kebijakan yang diterima di perusahaan, dapat melacak status akun yang dibuat, mengelola kebijakan tanpa mengedit dokumen JSON, tetapi dengan cara yang lebih nyaman cara. Selain itu, seiring dengan bertambahnya jumlah akun dalam organisasi, pemahaman bahwa kemampuan layanan AWS Organizations kurang muncul dengan cepat. Dan bagi mereka yang telah memulai jalur ini, ada dua opsi - baik menggunakan alat dari AWS - Menara Kontrol atau mengembangkan skrip kontrol mereka sendiri. Artikel lainnya menjelaskan mengapa kami memilih opsi kedua.
Apa itu AWS Control Tower?
Mulailah dengan menentukan AWS Landing Zone, solusi yang membantu pengguna dengan cepat menyiapkan lingkungan AWS multi-akun yang aman berdasarkan praktik terbaik. Inilah yang ada di jantung Menara Kontrol AWS. Sesuai dengan informasi resmi, solusi ini terus ada, tetapi tanpa peningkatan di masa mendatang dan pengguna baru sangat disarankan untuk menggunakan AWS Control Tower untuk mengelola lingkungan AWS dengan banyak akun.
Apa itu AWS Control Tower? Ini adalah Layanan Terkelola AWS yang mengotomatiskan pembuatan dan pengelolaan lingkungan multi-akun AWS. Secara otomatis mengkonfigurasi Organisasi AWS sebagai layanan AWS utama untuk kontrol akun dan menerapkan tindakan pencegahan dan pembatasan menggunakan Kebijakan Kontrol Layanan (SCP). Menara Kontrol AWS dapat digunakan untuk berbagai skenario: untuk membuat lingkungan atau proyek AWS baru di cloud, atau untuk bekerja di lingkungan AWS yang sudah ada dengan banyak akun.
Fitur utama dari layanan ini meliputi
- Landing Zone. AWS Organization , SSO ;
- . , ;
- Account Factory. , – VPC, . .;
- . . – , , .
?
Untuk memulai, Anda harus memiliki akun AWS dan pengguna dengan hak administrator. Akun ini kemudian akan digunakan sebagai akun master saat membuat organisasi AWS. Perlu juga disebutkan bahwa AWS Control Tower tidak didukung di semua wilayah, misalnya, wilayah California tidak didukung di AS, Milan, dan Paris di Eropa, dan di Asia, dari tujuh wilayah yang tersedia, hanya dua yang didukung - Singapura dan Sydney (informasi pada saat penulisan ini) ...
Layanan ini didasarkan pada sekumpulan templat AWS CloudFormation, dengan bantuan yang dibuat zona pendaratan dengan sumber daya berikut:
- tiga grup akun (unit organisasi) - Root, Core, dan Kustom;
- dua akun di unit organisasi Inti - akun arsip log untuk menyimpan semua log organisasi dan akun audit untuk audit;
- AWS SSO - ;
- 20 6 . , -. AWS CloudTrail, .
Batasan yang disebutkan adalah kebijakan kontrol layanan siap pakai dan aturan AWS Config yang membantu Anda mengelola keamanan, alur kerja, dan kepatuhan. Pembatasan preventif melarang tindakan yang melanggar kebijakan keamanan. Contoh dari pembatasan tersebut mungkin ketidakmungkinan menghapus arsip log atau menghentikan proses logging untuk pengguna akun yang merupakan bagian dari organisasi. Pembatasan detektif memeriksa kepatuhan akun dengan aturan keamanan dan, jika terjadi ketidakpatuhan, kirim pemberitahuan ke akun audit. Contohnya adalah kurangnya enkripsi disk atau keberadaan disk yang tidak digunakan di akun.
Juga integrasi dengan beberapa layanan AWS untuk memfasilitasi proses pembuatan dan pengelolaan akun di organisasi. Misalnya, integrasi dengan AWS Firewall Manager memungkinkan Anda membuat kebijakan tambahan yang beroperasi di tingkat organisasi, sementara integrasi dengan Katalog Layanan AWS memudahkan pembuatan akun dengan properti yang telah ditentukan sebelumnya dan sekumpulan sumber daya.
Manfaat menggunakan
Cepat, sederhana, dan aman. Anda dapat dengan cepat membuat organisasi yang lengkap dengan beberapa klik di konsol manajemen. Hasilnya, kami mendapatkan organisasi yang memenuhi standar keamanan yang direkomendasikan dan sistem untuk pemberitahuan tentang status organisasi. Semua tindakan untuk membuat dan mengonfigurasi sumber daya organisasi disembunyikan dari pengguna, dan memang ada beberapa di antaranya. Prosedur untuk mengelola organisasi juga cukup disederhanakan, Anda tidak perlu memikirkan kebijakan mana yang akan diresepkan untuk layanan mana agar berfungsi sebagaimana mestinya. Selain itu, serangkaian batasan yang ada membuat hidup menjadi lebih mudah, mengurangi konfigurasi organisasi menjadi memilih batasan dari daftar, yang jauh lebih cepat daripada pengembangan sendiri.
Mengapa kami tidak menggunakan AWS Control Tower?
Salah satu alasan utama mengapa AWS Control Tower tidak digunakan oleh kami adalah kurangnya integrasi layanan dengan Terraform, yang diadopsi sebagai standar de facto untuk bekerja dengan penyedia cloud. Mungkin di masa depan, integrasi ini akan muncul dan akan memungkinkan untuk mempertimbangkan kembali keputusan tersebut. Dan ini bukan tentang membuat organisasi itu sendiri menggunakan Terraform, Anda dapat membuat organisasi di konsol terlebih dahulu, lalu mengisinya dengan sumber daya melalui Terraform. Tetapi saya ingin mengelola sumber daya yang dibuat di masa depan - mengubah kebijakan, memiliki akses ke sumber daya yang dibuat seperti VPC, Grup keamanan, Topik SNS untuk penyesuaian dan perluasan lebih lanjut.
Alasan kedua adalah adanya organisasi yang sudah ada dengan sekumpulan akun dan beberapa logika kerja tertentu. Saya akan segera mengatakan bahwa AWS Control Tower memungkinkan Anda mentransfer organisasi saat ini di bawah kendali Anda. Namun, beberapa poin muncul yang tidak sepenuhnya berhenti, tetapi menyebabkan beberapa kekhawatiran. Yaitu:
- SCP . AWS Control Tower SCP . . SCP , — . , AWS Control Tower .
- SSO -. AWS Control Tower , . , – ;
Nah, sebagai tambahan kecil, saya ingin beralih dari standar yang diterima secara umum dan mengatur pekerjaan dengan log organisasi dalam satu akun, yang akan mencakup penyimpanan, pemrosesan, sistem pemberitahuan, dan dasbor. Izinkan saya mengingatkan Anda bahwa di AWS Control Tower ini dibagi menjadi dua akun - logging dan audit.
Alasan ketiga adalah keinginan untuk menyesuaikan batasan AWS Control Tower yang disebutkan di atas. Pertama, luaskan daftar kebijakan, misalnya, melarang penghapusan / modifikasi sumber daya tertentu (peran tertentu yang terkait dengan pengelolaan akun atau sumber daya penting). Kedua, untuk menggunakan peran di level satu akun tertentu, dan bukan grup akun, seperti yang sekarang diterapkan di AWS Control Tower. Dan ketiga, untuk mengelola semua ini dengan cepat, misalnya, untuk sementara, putuskan sekumpulan batasan tertentu untuk akun tertentu, lalu hubungkan kembali.
Namun, tidak bisa dikatakan bahwa kami sama sekali tidak menggunakan AWS Control Tower. Tentunya, banyak sekali yang dibutuhkan dalam implementasi layanan ini, dan dalam proses membangun solusi kami sendiri, kami menggunakan pengetahuan yang kami peroleh dari mempelajari AWS Control Tower.
Kesimpulan
AWS Control Tower atau skrip khusus, produk siap pakai, atau pengembangan khusus. Seperti biasa, produk jadi memberikan kecepatan dalam implementasi solusi, mengurangi biaya pengembangan dan perbaikan bug, tetapi sebagai gantinya kami kehilangan fleksibilitas.
AWS Control Tower adalah layanan yang nyaman untuk mengelola organisasi akun. Jika Anda baru saja sampai pada kesimpulan bahwa satu akun tidak cukup untuk Anda dan Anda perlu membangun organisasi, mulailah dengan AWS Control Tower. Jika Anda tidak tahu cara membuat kebijakan, cara mengonfigurasi pemrosesan log dan layanan pemberitahuan, dan pada saat yang sama keamanan merupakan prasyarat penting bagi keberadaan organisasi Anda, mulailah dengan AWS Control Tower. Jika Anda menggunakan konsol AWS untuk mengelola infrastruktur cloud Anda, Anda mungkin akan menganggap AWS Control Tower cukup menarik.
Namun, jika organisasi Anda memerlukan tingkat penyesuaian tertentu yang melampaui standar, atau akun Anda harus mematuhi aturan yang sering berubah, Anda mungkin memerlukan solusi lain.