【发布时间】:2019-01-16 15:15:05
【问题描述】:
我想了解 AWS Organizations 为何有用以及为什么推荐它的原因。
目前,我和我的团队有三个不同的帐户用于构建应用程序:prod、dev 和 qa。当我们在其中一个帐户中构建新应用程序时,我们必须首先执行一系列 CloudFormation 模板,其中一个模板包括新应用程序所需的 IAM 策略/角色。
您可以想象,我们最终会在每个帐户中定义完全相同的策略和角色。出于安全目的,我们不希望拥有跨账户角色/策略。
现在我的问题是,是否可以利用 AWS Organizations 来定义 1 个可在每个账户中使用的集中式策略,即,该模板适用于该策略,但它允许将本地副本存储在每个账户中.这样做的好处是,我们可以对政策进行 1 次更改,并将该更改复制到我们选择的帐户中。 Prod 可能仍然没有该策略的第 1 版,而 dev 可能在第 2 版。
如果这不是 AWS Organizations 的预期功能,那么有人可以向我提供一个 AWS Organizations 优势的用例吗?
【问题讨论】:
-
在您看来,为什么跨账户策略会带来安全风险?
can AWS Organizations be leveraged to where we define 1 centralized policy that can be used in each account这种方法怎么会不是跨账户策略解决方案? -
好问题。这里的想法是保持一切模块化。我们只想让该帐户特定于该帐户所需的一切;但是,当我说“AWS Organizations 是否可以用于我们定义 1 个可在每个账户中使用的集中式策略”时,我的意思是在某处定义一个策略,然后在必要时使用其唯一的 accountId 创建本地副本,即如果更新了集中式策略,那么其余的也可以更新。我们遇到的问题是在修改完成后更新政策。
标签: amazon-web-services security aws-organizations