為了實(shí)現(xiàn)在企業(yè)內(nèi)部多個(gè)AWS云賬戶的科學(xué)管理,AWS支持多種賬戶體系結(jié)構(gòu),它們是身份賬戶體系結(jié)構(gòu)、日志賬戶體系結(jié)構(gòu)、賬單結(jié)構(gòu)和發(fā)布賬戶體系結(jié)構(gòu)。下邊分別對(duì)多個(gè)賬戶體系結(jié)構(gòu)進(jìn)行介紹:
1、身份賬戶體系結(jié)構(gòu):設(shè)置一個(gè)中央身份賬戶體系,即所謂的身份賬戶。在身份賬戶下設(shè)置具體的IAM用戶賬號(hào)、密碼和密鑰,再把身份賬戶與其他業(yè)務(wù)身份賬戶之間建立信任策略。在具體的業(yè)務(wù)賬戶中建立跨賬戶的角色(即跨賬戶訪問(wèn)的IAM角色),并給該IAM角色配置具體資源訪問(wèn)權(quán)限,比如該IAM角色可以訪問(wèn)S3存儲(chǔ)桶的權(quán)限。接下來(lái)在中央身份賬戶下設(shè)置允許特定IAM用戶切換至業(yè)務(wù)身份賬戶下的指定的IAM角色,以實(shí)現(xiàn)對(duì)業(yè)務(wù)賬戶下特定資源的訪問(wèn)。這樣就可以避免某開(kāi)發(fā)人員的IAM用戶直接獲得生產(chǎn)環(huán)境賬戶下資源的完全訪問(wèn)權(quán)限,造成不必要的安全問(wèn)題。
2、賬單結(jié)構(gòu):利用AWS Organization服務(wù)實(shí)現(xiàn)主子賬單的級(jí)聯(lián),即主賬戶和成員賬戶的分級(jí)管理。實(shí)現(xiàn)企業(yè)下多個(gè)賬戶的賬單的統(tǒng)一管理和支付。另外,可以通過(guò)AWS Organization服務(wù)控制臺(tái)設(shè)置特定的服務(wù)安全策略(Service Security Policy, SCP),來(lái)實(shí)現(xiàn)基于企業(yè)整體合規(guī)的安全策略一致性的下發(fā),即在企業(yè)整體層面,允許特定的安全策略作用在指定的成員賬戶,并實(shí)現(xiàn)對(duì)特定資源的允許或禁止訪問(wèn)。比如企業(yè)級(jí)的一個(gè)安全策略是禁止企業(yè)內(nèi)的所有成員賬戶擅自禁用AWS CloudTrail服務(wù),然后集中所有成員賬戶的CloudTrail日志集中存放在一個(gè)中央S3存儲(chǔ)桶,以支持后期集中分析多個(gè)賬戶的操作日志。
以下是AWS官方對(duì)AWS organization服務(wù)的詳細(xì)解讀:
借助 AWS Organizations服務(wù),您可以在企業(yè)內(nèi)部輕松完成針對(duì)日益增長(zhǎng)的AWS云資源的必要集中管理和監(jiān)管服務(wù)。您可以使用AWS Organizations來(lái)創(chuàng)建賬戶和分配資源、對(duì)賬戶進(jìn)行分組以整理您的工作流、應(yīng)用監(jiān)管策略,以及為您所有的賬戶使用統(tǒng)一的付款方式以簡(jiǎn)化賬單。
3、日志賬戶體系結(jié)構(gòu):實(shí)現(xiàn)利用主賬戶的S3云存儲(chǔ)桶(即OSS對(duì)象存儲(chǔ))來(lái)存儲(chǔ)來(lái)自成員賬戶的Cloudtrail、VPC flow和AWS config等日志,并實(shí)現(xiàn)日志統(tǒng)一分析和管理。
4、發(fā)布賬戶體系結(jié)構(gòu):由企業(yè)的安全部門創(chuàng)建經(jīng)過(guò)檢測(cè)的安全鏡像,設(shè)置必要的安全訪問(wèn)策略,規(guī)范研發(fā)人員必須通過(guò)經(jīng)過(guò)安全檢測(cè)的AMI研發(fā)鏡像來(lái)啟動(dòng)EC2實(shí)例。
通過(guò)以上AWS多種賬戶體系結(jié)構(gòu)的介紹,我們可以看到不同的云賬戶體系結(jié)構(gòu)分別解決了客戶或業(yè)務(wù)部門上云的特定問(wèn)題。這也印證了架構(gòu)或解決方案的價(jià)值就是在解決客戶的實(shí)際問(wèn)題。通過(guò)AWS云產(chǎn)品的架構(gòu)理念的學(xué)習(xí),更加增強(qiáng)了我們對(duì)云架構(gòu)師角色的認(rèn)知。