關注公衆號:AWS愛好者(iloveaws)
文 | 沉默惡魔(禁止轉載,轉載請先經過作者同意)
網站:www.iloveaws.cn
Hello大家好,歡迎回來,我們今天課程的內容是從頭開始創建一個AWS組織,加入組織,以及演示AWS組織的兩個功能集的內容。
演示環境
爲了演示我們準備了兩個AWS賬戶,左邊的賬戶我們使用safari瀏覽器登陸,準備創建組織,作爲主賬戶;
右邊的賬戶我們使用google chrome瀏覽器登陸,作爲加入組織的成員賬戶。
我們現在已經分別使用根賬號登陸了兩個AWS賬戶,然後通過管理控制檯右上角支持-支持中心,我們分別可以看到兩個賬戶對應的賬戶ID
創建組織
我們要在左邊的這個賬戶上創建AWS組織,我們現在打開AWS Organizations管理控制檯,點擊創建組織。
可以選擇將要創建組織的功能集,共有兩個功能集,一個是僅具有整合賬單功能的組織,一個是啓用所有功能的組織。可以通過在頁面中進行切換。如果您只需要整合賬單功能,那麼選擇創建僅具有整合賬單功能的組織即可;如果您需要啓用所有功能的組織,既包括整合賬單功能,又需要基於策略控制的功能,您需要啓用所有功能。
我們的演示選擇創建啓用所有功能的組織,選擇後點擊創建組織。
好的,現在組織已經創建完了,這裏會看到一個默認賬戶作爲主賬戶,也就是我們當前的AWS賬戶。
我們要使用AWS組織的整合賬戶以及策略控制功能,我們就需要添加其他賬戶進來作爲成員賬戶,點擊添加賬戶,
在這裏可以邀請現有賬戶,以及創建新的賬戶,因爲我們已經有一個想要作爲成員賬戶的AWS賬戶,所以我們選擇邀請賬戶。
邀請賬戶加入組織
在電子郵件或者賬戶ID輸入框中輸入您要邀請的賬戶信息,我們將google chrome瀏覽器的賬戶id複製進來,邀請它加入組織。
這裏要說明一個情況,也是大家可能會遇到的一個問題,如果您的AWS組織是剛剛創建的,AWS需要一段時間進行初始化,AWS官方的說明是需要1個小時,但是在實際的情況中很多反饋都需要24小時以上才能完成初始化。如果AWS沒有初始化完成,在你進行邀請賬戶的時候,可能會提示“您超出了組織的賬戶限制或因組織仍在初始化而無法添加賬戶或類似的信息,如果您遇到了這個問題且等了很久還是這個提示,需要聯繫 AWS Support解決。
我們現在已經向2732這個賬戶成功發送了邀請,我們現在要做的,切換到google chrome瀏覽器。
進入到AWS Organizations管理控制檯。會看到有一個新的邀請,這個邀請請求的控制是啓用所有功能,我們點擊接受,然後確認。
然後會看到頁面上會有組織的ID等信息,當完成後,我們切換到主賬戶瀏覽器,刷新下,可以看到剛剛添加的賬戶已經成功加入了AWS組織。
整合賬單
我們看下aws組織整合賬單功能是否啓用。
我們在切換到成員賬戶的瀏覽器,訪問我的賬單控制面板-整合賬單,顯示“您的賬戶現已成爲組織成員”,整合賬單功能已經成功啓用了。
這樣就實現了整合賬單功能,在主賬戶上查看組織的賬戶的賬單及統一支付賬單,我們就不在這裏演示了。
策略控制
好的,我們接下來開始策略控制內容,首先我們配置一個服務控制策略,然後將它應用到我們的成員賬戶,最後使用root賬戶登錄成員賬戶,看一下策略生效情況。
我們現在開始配置策略,切換到在主賬戶瀏覽器,進入AWS Organizations管理控制檯,策略—選擇服務控制策略 ,然後啓用服務控制策略。可以看到當前有一個FullAWSAccess策略,這個策略是默認策略,會附加到每個根、OU 和賬戶,策略內容是允許所有操作和所有服務。
我們開始創建策略,點擊創建策略,我們將創建一個禁止訪問s3的策略。
策略名稱,我們輸入denys3;
然後策略部分,選擇要添加操作的服務,選擇S3,然後我們選擇all actions。
添加資源,服務選擇S3,資源類型選賊all resources, 添加。
確認下策略的內容,沒有問題,創建。
這樣我們的策略就創建完成了,我們現在把這個策略附加到成員賬戶。
回到AWS組織的賬戶頁面,選擇成員賬戶,然後選擇服務控制策略
看到了兩個策略,一個是默認的FullAWSAccess策略,默認會附加到成員賬戶,另一個denys3是我們剛剛創建的策略。
在我們附加denys3策略前,我們先使用root用戶登錄成員賬戶,看下現在是否能否訪問S3。
我們切換到成員賬戶的瀏覽器,進入到S3,可以正常訪問S3。
接下來,我們在主賬戶的AWS組織管理控制檯,將denys3策略附加到成員賬戶上。
附加後,現在成員賬戶應該無法訪問S3服務,我們切換到成員賬戶瀏覽器,我們使用的是根用戶登錄的,訪問下s3,無法訪問。
所以,如果在aws組織主賬戶中附加了一個策略到成員賬戶,即便是成員賬戶的root用戶,也會受到這個策略的限制。
好的,希望大家能夠通過今天的內容熟悉了AWS Organizations服務,它是一個非常棒的服務,通過整合賬單或者策略控制能夠爲您的組織帶來很多幫助。
您也可以通過AWS組織的服務控制策略,爲企業多賬戶環境提供安全保障,比如,創建策略內容爲禁止所有成員賬戶禁用aws cloudtrail服務,然後將所有成員賬戶的cloudtrail操作日誌都集中存儲至一箇中央S3存儲桶,集中存儲和分析賬戶的操作日誌。
希望AWS Organizations能夠幫助您在AWS上構建您所需安全控制及安全體系。
以上就是我們今天的課程內容, 我們從頭開始創建了aws組織,並邀請賬戶加入組織,演示了整合賬單以及策略控制內容。在當前的AWS SAP認證考試中,AWS Organizations的題目在考試中出現的機率非常高,尤其是服務控制策略部分,考試中會對服務控制策略的應用場景和IAM有什麼不同?或者策略應用到成員賬戶後根用戶是否受到策略的影響,會將這些知識點虛擬一個場景出來,考察考生。
好了,希望此係列教程能爲您通過 AWS解決方案架構師認證 Professional 認證考試帶來幫助,如您有任何疑問.
關注公衆號:AWS愛好者(iloveaws)
文 | 沉默惡魔(禁止轉載,轉載請先經過作者同意)
網站:www.iloveaws.cn