Jeder, der mit AWS gearbeitet hat, ist sich der Existenz von Konten bewusst - Konten, auf denen die Arbeit tatsächlich stattfindet - Zuweisung von Ressourcen, Differenzierung von Zugriffsrechten usw. Es ist häufig erforderlich, mehrere Konten zu erstellen - unabhängig davon, ob es sich um separate Konten für verschiedene Abteilungen des Unternehmens oder um separate Konten für Projekte oder sogar für verschiedene Umgebungen eines Projekts (Entwicklung, Test, Betrieb) handelt. Für die Kontoverwaltung bietet AWS AWS-Organisationen, mit denen Sie neue Konten erstellen, Ressourcen zuweisen, die Rechnungszahlung optimieren können, indem Sie eine einzige Zahlungsmethode für alle Konten festlegen, Kontogruppen erstellen und Richtlinien auf diese anwenden, um Workflows effizient zu verwalten.
AWS-Organisationen allein reichen jedoch nicht aus, um Konten zu verwalten. Es besteht der Wunsch, Konten nicht nur zu erstellen, sondern sie auch so zu erstellen, dass sie den im Unternehmen akzeptierten Normen und Richtlinien entsprechen, den Status der erstellten Konten verfolgen und Richtlinien verwalten können, ohne ein JSON-Dokument zu bearbeiten, sondern auf bequemere Weise Weg. Mit zunehmender Anzahl von Konten in einer Organisation kommt das Verständnis, dass die Funktionen des AWS Organizations-Service fehlen, schnell genug. Und für diejenigen, die diesen Weg eingeschlagen haben, gibt es zwei Möglichkeiten: Verwenden Sie entweder ein Tool von AWS - Control Tower oder entwickeln Sie ihre eigenen Kontrollskripte. Der Rest des Artikels erklärt, warum wir die zweite Option gewählt haben.
Was ist der AWS Control Tower?
Definieren Sie zunächst die AWS Landing Zone, eine Lösung, mit der Benutzer schnell eine sichere AWS-Umgebung mit mehreren Konten einrichten können, die auf Best Practices basiert. Dies ist das Herzstück des AWS Control Tower. Wie aus den offiziellen Informationen hervorgeht, besteht diese Lösung weiterhin, jedoch ohne zukünftige Verbesserungen, und neuen Benutzern wird dringend empfohlen, den AWS Control Tower zum Verwalten einer AWS-Umgebung mit mehreren Konten zu verwenden.
Was ist der AWS Control Tower? Es handelt sich um einen AWS Managed Service, der die Erstellung und Verwaltung einer AWS-Umgebung mit mehreren Konten automatisiert. Es konfiguriert AWS-Organisationen automatisch als primären AWS-Service für die Kontosteuerung und implementiert vorbeugende Maßnahmen und Einschränkungen mithilfe von Service Control Policies (SCPs). Der AWS Control Tower kann für eine Vielzahl von Szenarien verwendet werden: zum Erstellen einer neuen AWS-Umgebung oder eines neuen Projekts in der Cloud oder zum Arbeiten in einer vorhandenen AWS-Umgebung mit mehreren Konten.
Die Hauptmerkmale des Dienstes umfassen
- Landing Zone. AWS Organization , SSO ;
- . , ;
- Account Factory. , – VPC, . .;
- . . – , , .
?
Zu Beginn benötigen Sie ein AWS-Konto und einen Benutzer mit Administratorrechten. Dieses Konto wird dann beim Erstellen einer AWS-Organisation als Hauptkonto verwendet. Es sollte auch erwähnt werden, dass der AWS Control Tower nicht in allen Regionen unterstützt wird. Beispielsweise wird die Region Kalifornien nicht in den USA, Mailand und Paris in Europa unterstützt, und in Asien werden von den sieben verfügbaren Regionen nur zwei unterstützt. Singapur und Sydney (Informationen zum Zeitpunkt dieses Schreibens) ...
Der Service basiert auf einer Reihe von AWS CloudFormation-Vorlagen, mit deren Hilfe eine Landezone mit den folgenden Ressourcen erstellt wird:
- drei Kontengruppen (Organisationseinheit) - Root, Core und Custom;
- zwei Konten in der Kernorganisationseinheit - ein Protokollarchivkonto zum Speichern aller Protokolle der Organisation und ein Überwachungskonto zum Überwachen;
- AWS SSO - ;
- 20 6 . , -. AWS CloudTrail, .
Bei den genannten Einschränkungen handelt es sich um sofort einsatzbereite Servicesteuerungsrichtlinien und AWS Config-Regeln, mit denen Sie Sicherheit, Workflow und Compliance verwalten können. Vorbeugende Einschränkungen verbieten Aktionen, die gegen Sicherheitsrichtlinien verstoßen. Ein Beispiel für solche Einschränkungen kann die Unmöglichkeit sein, Protokollarchive zu löschen oder den Protokollierungsprozess für Benutzer von Konten zu stoppen, die Teil der Organisation sind. Detektivbeschränkungen überprüfen die Übereinstimmung des Kontos mit den Sicherheitsregeln und senden bei Nichteinhaltung Benachrichtigungen an das Überwachungskonto. Ein Beispiel wäre das Fehlen einer Festplattenverschlüsselung oder das Vorhandensein nicht verwendeter Festplatten in einem Konto.
Integration in einige AWS-Services, um das Erstellen und Verwalten von Konten in der Organisation zu vereinfachen. Durch die Integration in AWS Firewall Manager können Sie beispielsweise zusätzliche Richtlinien erstellen, die auf Organisationsebene ausgeführt werden, während durch die Integration in AWS Service Catalog das Erstellen von Konten mit vordefinierten Eigenschaften und einer Reihe von Ressourcen vereinfacht wird.
Vorteile der Verwendung
Schnell, einfach und sicher. Mit wenigen Klicks in der Verwaltungskonsole können Sie schnell eine vollwertige Organisation erstellen. Als Ergebnis erhalten wir eine Organisation, die die empfohlenen Sicherheitsstandards erfüllt, und ein System zur Benachrichtigung über den Status der Organisation. Alle Aktionen zum Erstellen und Konfigurieren von Organisationsressourcen sind dem Benutzer verborgen, und es gibt tatsächlich einige davon. Das Verfahren zum Verwalten einer Organisation ist ebenfalls recht vereinfacht. Sie müssen nicht darüber nachdenken, welche Richtlinie für welchen Dienst vorgeschrieben werden soll, damit sie wie beabsichtigt funktioniert. Eine Reihe bestehender Einschränkungen erleichtert das Leben erheblich und reduziert die Konfiguration einer Organisation auf die Auswahl von Einschränkungen aus einer Liste, was viel schneller ist als die eigene Entwicklung.
Warum verwenden wir AWS Control Tower nicht?
Einer der Hauptgründe, warum AWS Control Tower von uns nicht verwendet wurde, ist die mangelnde Integration des Dienstes in Terraform, das als De-facto-Standard für die Zusammenarbeit mit Cloud-Anbietern übernommen wurde. Vielleicht wird diese Integration in Zukunft erscheinen und es wird möglich sein, die Entscheidung zu überdenken. Und es geht nicht einmal darum, die Organisation selbst mit Terraform zu erstellen. Sie können zuerst eine Organisation in der Konsole erstellen und sie dann über Terraform mit Ressourcen füllen. Aber ich wollte die erstellten Ressourcen in Zukunft verwalten - Richtlinien ändern, Zugriff auf erstellte Ressourcen wie VPC, Sicherheitsgruppen und SNS-Themen für deren weitere Anpassung und Erweiterung haben.
Der zweite Grund war das Vorhandensein einer bereits bestehenden Organisation mit einer Reihe von Konten und einer bestimmten Arbeitslogik. Ich werde gleich sagen, dass Sie mit AWS Control Tower die aktuelle Organisation unter Ihrer Kontrolle übertragen können. Es tauchten jedoch einige Punkte auf, die nicht gerade aufhörten, aber einige Bedenken hervorriefen. Nämlich:
- SCP . AWS Control Tower SCP . . SCP , — . , AWS Control Tower .
- SSO -. AWS Control Tower , . , – ;
Als kleine Ergänzung wollte ich mich von allgemein anerkannten Standards entfernen und die Arbeit mit den Protokollen der Organisation in einem Konto organisieren, das Speicherung, Verarbeitung, ein Benachrichtigungssystem und ein Dashboard umfassen würde. Ich möchte Sie daran erinnern, dass dies in AWS Control Tower in zwei Konten unterteilt ist - Protokollierung und Prüfung.
Der dritte Grund war der Wunsch, die oben genannten Einschränkungen des AWS Control Tower anzupassen. Erweitern Sie zunächst die Liste der Richtlinien, z. B. das Löschen / Ändern bestimmter Ressourcen (bestimmte Rollen im Zusammenhang mit der Kontoverwaltung oder kritischen Ressourcen). Zweitens, um Rollen auf der Ebene eines bestimmten Kontos und nicht einer Gruppe von Konten zu verwenden, wie dies jetzt im AWS Control Tower implementiert ist. Und drittens, um all dies beispielsweise für eine Weile im laufenden Betrieb zu verwalten, müssen Sie bestimmte Einschränkungen für ein bestimmtes Konto aufheben und dann wieder eine Verbindung herstellen.
Es kann jedoch nicht gesagt werden, dass wir den AWS Control Tower überhaupt nicht verwenden. Natürlich ist bei der Implementierung dieses Dienstes viel erforderlich, und bei der Erstellung unserer eigenen Lösung haben wir das Wissen verwendet, das wir aus dem Studium des AWS Control Tower gewonnen haben.
Fazit
AWS Control Tower oder benutzerdefinierte Skripte, Standardprodukte oder benutzerdefinierte Entwicklung. Wie immer bietet das fertige Produkt eine schnelle Implementierung der Lösung, reduzierte Entwicklungskosten und Fehlerbehebungen, aber im Gegenzug verlieren wir an Flexibilität.
AWS Control Tower ist ein praktischer Dienst zur Verwaltung der Kontenorganisation. Wenn Sie gerade zu dem Schluss gekommen sind, dass ein Konto für Sie nicht ausreicht und Sie eine Organisation aufbauen müssen, beginnen Sie mit dem AWS Control Tower. Wenn Sie nicht wissen, wie Sie Richtlinien erstellen, Protokollverarbeitungs- und Benachrichtigungsdienste konfigurieren und gleichzeitig die Sicherheit eine wesentliche Voraussetzung für die Existenz Ihrer Organisation ist, beginnen Sie mit dem AWS Control Tower. Wenn Sie die AWS-Konsole zur Verwaltung Ihrer Cloud-Infrastruktur verwenden, ist der AWS Control Tower wahrscheinlich attraktiv genug.
Wenn Ihre Organisation jedoch eine bestimmte Anpassungsstufe erfordert, die über den Standard hinausgeht, oder Ihre Konten nach Regeln leben müssen, die sich häufig ändern, benötigen Sie möglicherweise eine andere Lösung.