Tôi nên sử dụng người dùng IAM hay Tổ chức AWS?

Có hai cách chính để quản lý quyền truy cập của nhân viên vào tài khoản AWS của công ty bạn: Người dùng IAM và Tổ chức AWS. Cả hai đều phục vụ mục đích của chúng, nhưng điều quan trọng là phải làm nổi bật sự khác biệt khi lập kế hoạch cấu trúc quyền AWS của bạn.

Câu trả lời ngắn gọn: cả hai, thực sự

Tôi nên sử dụng cái nào? Câu trả lời là cả hai. Điều này là do người dùng IAM và Tổ chức AWS làm những việc khác nhau. Mặc dù bề ngoài giống nhau, chúng được thiết kế cho các mục đích khác nhau.

Người dùng IAM là một cách tuyệt vời để quản lý quyền truy cập của nhân viên. Với các đặc quyền hạn chế, “tài khoản phụ” có thể xác thực nhân viên. Hệ thống quản lý quyền này rất quan trọng đối với quyền truy cập của nhân viên vào các tài nguyên AWS.

Người dùng IAM cũng xác thực tài khoản dịch vụ. Ví dụ: nếu bạn có AWS CLI đang chạy trên phiên bản EC2 và bạn muốn cấp quyền truy cập để quản lý nhóm S3 của mình, bạn có thể làm như vậy với tư cách là người dùng IAM, vì vậy bạn không phải để lại thông tin đăng nhập tài khoản gốc của mình trên phiên bản khác . máy chủ từ xa.

Tổ chức AWS cũng làm điều tương tự. Điều này cho phép bạn tạo các tài khoản phụ thực, thực, hoàn toàn tách biệt với tài khoản chính bằng các quyền riêng trong khi vẫn duy trì kiểm soát và thanh toán tập trung. Bạn có thể nghĩ rằng đây là một cách tuyệt vời để cung cấp cho nhân viên quyền truy cập, nhưng các tổ chức không có nghĩa là làm điều đó.

Vấn đề chính là bạn bị giới hạn 4 tài khoản theo mặc định. Bạn có thể yêu cầu tăng giới hạn, nhưng phải có lý do. Tất cả các tài khoản tổ chức Tổng cộng ly thân. Điều này có nghĩa là nếu bạn có một nhà phát triển đang làm việc trên bảng DynamoDB trong tài khoản của họ, họ sẽ không hiển thị với tất cả các nhân viên khác.

Mọi tài khoản Tổ chức AWS hoàn toàn riêng biệt.

Điều bạn thực sự muốn là tất cả nhân viên của bạn có thể làm việc cùng nhau trong một môi trường chia sẻ. Dưới đây là các cài đặt tốt nhất cho hầu hết mọi doanh nghiệp.

Sử dụng Tổ chức AWS và tạo các tài khoản riêng để phát triển và sản xuất. Điều này làm giảm căng thẳng của nhà phát triển và cung cấp cho các nhà phát triển quyền lực lỏng lẻo hơn trong môi trường phát triển mà không sợ gây rối với máy chủ sản xuất.
Bạn cũng có thể tạo thêm hai môi trường như thử nghiệm chứa dữ liệu giả sạch và được nhóm QE sử dụng để chạy các bản dựng tự động. Một bản sao hoàn chỉnh của quá trình sản xuất được sử dụng để dàn dựng, sử dụng các API công khai và dữ liệu thực để phát hiện các lỗi có thể phát sinh trước khi chúng tác động đến khách hàng thực.
Tạo nhiều người dùng IAM trong môi trường phát triển của bạn để cấp cho nhân viên của bạn quyền truy cập được quản lý.
Lặp lại quy trình tương tự cho nhóm QE đang thử nghiệm và cho các nhà quản lý dự án và kiến trúc sư giải pháp trong quá trình thực hiện. Sản xuất chỉ nên cập nhật các cá nhân được ủy quyền cao và tất nhiên bao gồm các tài khoản dịch vụ IAM cần thiết để hoạt động bình thường.

Cấu trúc này kết hợp lợi ích của cả hai loại tài khoản và với quy tắc bốn tài khoản của Tổ chức AWS (mặc định), cấu trúc này dường như được AWS thiết lập như mong muốn.