AWS Organizations 是用來集中管理多個 AWS 帳號的服務。 企業通常不會只用一個 AWS 帳號,而是會依照部門、環境、專案或安全需求拆成多個帳號。它的核心價值是:帳號集中管理、帳單集中付款、權限集中控管、日誌集中保存。
一、核心重點
AWS Organizations = 多帳號管理中心 + 集中帳單 + 權限上限控管
使用 AWS Organizations 後,可以用一個管理帳號統一管理多個 AWS 帳號。 例如正式環境、測試環境、開發環境、財務部門、研發部門,都可以拆成不同帳號管理。
這樣做的好處是環境更乾淨、權限更好控、帳單更清楚、安全稽核也更容易。
二、主要功能表格
| AWS 服務 / 概念 | 用途 | 白話說明 |
|---|---|---|
| AWS Organizations | 管理多個 AWS 帳號 | 像公司總部,集中管理所有 AWS 帳號。 |
| Management Account | 管理整個組織 | 總管理帳號,負責帳單、組織架構與政策管理。 |
| Member Account | 被管理的帳號 | 各部門、各環境或各專案使用的 AWS 帳號。 |
| Consolidated Billing | 集中帳單 | 所有帳號費用集中成一張帳單,由管理帳號付款。 |
| Aggregated Usage | 用量彙總 | 多個帳號的用量合併計算,有機會取得更好的價格效益。 |
| Organizational Unit, OU | 帳號分組 | 像資料夾,可以把帳號依照 Dev、Test、Prod 或部門分類。 |
| Service Control Policy, SCP | 限制權限上限 | 公司層級規定,用來限制某些帳號不能使用特定服務。 |
| CloudTrail | 記錄 API 操作 | 記錄誰在什麼時間對 AWS 做了什麼動作。 |
| CloudWatch Logs | 集中收集 Log | 把各帳號的系統與應用程式日誌集中管理。 |
三、生活化比喻
你可以把 AWS Organizations 想成一間大型公司的總部。
每個部門都有自己的辦公室,這些辦公室就像不同的 AWS 帳號。 如果每個部門都自己付款、自己決定規則、自己保管紀錄,管理會很混亂。
所以總部會統一規定:
帳單統一付款 部門分開管理 高風險工具限制使用 操作紀錄集中保存
四、文字流程圖
公司 / 組織
│
└── AWS Organizations
│
├── Management Account
│ ├── 統一管理帳號
│ ├── 統一付款
│ ├── 建立 OU
│ └── 設定 SCP
│
├── OU:Development
│ ├── Dev Account 1
│ └── Dev Account 2
│
├── OU:Test
│ ├── Test Account 1
│ └── Test Account 2
│
├── OU:Production
│ ├── Prod App Account
│ ├── Prod DB Account
│ └── Prod Network Account
│
└── OU:Logging
└── Central Logging Account
├── 收 CloudTrail Logs
├── 收 CloudWatch Logs
└── 存到 S3
五、SCP 重點
SCP 不是用來給權限,而是用來限制權限上限。
就算某個帳號裡面的 IAM 使用者是 Admin,只要 SCP 擋住某個服務,他還是不能使用那個服務。
| 常見誤解 | 正確觀念 |
|---|---|
| SCP 可以直接授權使用者 | SCP 不給權限,只限制最大可用範圍。 |
| IAM Admin 一定什麼都能做 | 如果 SCP 擋住,IAM Admin 也不能做。 |
| SCP 會限制 Management Account | SCP 不會套用到 Management Account。 |
| 一個 AWS 帳號切多個 VPC 就夠 | 企業環境通常用多帳號隔離更清楚。 |
| Log 各帳號自己留就好 | 建議集中送到 Logging Account,方便稽核與追蹤。 |
六、一句話總結
AWS Organizations 是企業管理多個 AWS 帳號的總控中心,負責集中帳單、帳號分組、權限上限控管與日誌集中治理。
沒有留言:
張貼留言