为什么组织有益?
Why is Organizations beneficial?
我想了解 AWS Organizations 为何有用以及推荐它的原因。
目前,我和我的团队在构建应用程序时拥有三个不同的帐户:prod、dev 和 qa。当我们在其中一个帐户中构建新应用程序时,我们必须首先执行一系列 CloudFormation 模板——其中一个包含新应用程序所需的 IAM 策略/角色。
如您所想,我们最终将在每个帐户中定义完全相同的策略和角色。出于安全目的,我们不想要拥有跨账户角色/策略。
现在我的问题是,是否可以利用 AWS Organizations 来定义 1 个可在每个账户中使用的集中策略,即,该策略有模板,但它允许将本地副本存储在每个帐户。这样做的好处是我们可以对政策进行 1 次更改,它会在我们选择的帐户中复制该更改。 Prod 可能仍然不是该策略的第 1 版,而 dev 可能是第 2 版。
如果这不是 AWS Organizations 的预期功能,那么有人可以向我提供 AWS Organizations 优势的用例吗?
AWS Organizations 不允许您在组织级别设置 IAM 策略以供子 AWS 账户使用。它允许您在组织级别设置服务控制策略 (SCP)。 SCP 规定子 AWS 账户可以使用哪个 AWS services/actions(SCP 是子账户中 IAM 策略的过滤器,允许 SCP 覆盖 any/all 子级权限)。
另请参阅 AWS Organizations 的更广泛的功能集。
我想了解 AWS Organizations 为何有用以及推荐它的原因。
目前,我和我的团队在构建应用程序时拥有三个不同的帐户:prod、dev 和 qa。当我们在其中一个帐户中构建新应用程序时,我们必须首先执行一系列 CloudFormation 模板——其中一个包含新应用程序所需的 IAM 策略/角色。
如您所想,我们最终将在每个帐户中定义完全相同的策略和角色。出于安全目的,我们不想要拥有跨账户角色/策略。
现在我的问题是,是否可以利用 AWS Organizations 来定义 1 个可在每个账户中使用的集中策略,即,该策略有模板,但它允许将本地副本存储在每个帐户。这样做的好处是我们可以对政策进行 1 次更改,它会在我们选择的帐户中复制该更改。 Prod 可能仍然不是该策略的第 1 版,而 dev 可能是第 2 版。
如果这不是 AWS Organizations 的预期功能,那么有人可以向我提供 AWS Organizations 优势的用例吗?
AWS Organizations 不允许您在组织级别设置 IAM 策略以供子 AWS 账户使用。它允许您在组织级别设置服务控制策略 (SCP)。 SCP 规定子 AWS 账户可以使用哪个 AWS services/actions(SCP 是子账户中 IAM 策略的过滤器,允许 SCP 覆盖 any/all 子级权限)。
另请参阅 AWS Organizations 的更广泛的功能集。