Có hai cách chính để quản lý quyền truy cập của nhân viên vào tài khoản AWS của công ty bạn: Người dùng IAM và Tổ chức AWS. Cả hai đều phục vụ mục đích của chúng, nhưng điều quan trọng là phải làm nổi bật sự khác biệt khi lập kế hoạch cấu trúc quyền AWS của bạn.
Tôi nên sử dụng cái nào? Câu trả lời là cả hai. Điều này là do người dùng IAM và Tổ chức AWS làm những việc khác nhau. Mặc dù bề ngoài giống nhau, chúng được thiết kế cho các mục đích khác nhau.
Người dùng IAM là một cách tuyệt vời để quản lý quyền truy cập của nhân viên. Với các đặc quyền hạn chế, “tài khoản phụ” có thể xác thực nhân viên. Hệ thống quản lý quyền này rất quan trọng đối với quyền truy cập của nhân viên vào các tài nguyên AWS.
Người dùng IAM cũng xác thực tài khoản dịch vụ. Ví dụ: nếu bạn có AWS CLI đang chạy trên phiên bản EC2 và bạn muốn cấp quyền truy cập để quản lý nhóm S3 của mình, bạn có thể làm như vậy với tư cách là người dùng IAM, vì vậy bạn không phải để lại thông tin đăng nhập tài khoản gốc của mình trên phiên bản khác . máy chủ từ xa.
Tổ chức AWS cũng làm điều tương tự. Điều này cho phép bạn tạo các tài khoản phụ thực, thực, hoàn toàn tách biệt với tài khoản chính bằng các quyền riêng trong khi vẫn duy trì kiểm soát và thanh toán tập trung. Bạn có thể nghĩ rằng đây là một cách tuyệt vời để cung cấp cho nhân viên quyền truy cập, nhưng các tổ chức không có nghĩa là làm điều đó.
Vấn đề chính là bạn bị giới hạn 4 tài khoản theo mặc định. Bạn có thể yêu cầu tăng giới hạn, nhưng phải có lý do. Tất cả các tài khoản tổ chức Tổng cộng ly thân. Điều này có nghĩa là nếu bạn có một nhà phát triển đang làm việc trên bảng DynamoDB trong tài khoản của họ, họ sẽ không hiển thị với tất cả các nhân viên khác.
Điều bạn thực sự muốn là tất cả nhân viên của bạn có thể làm việc cùng nhau trong một môi trường chia sẻ. Dưới đây là các cài đặt tốt nhất cho hầu hết mọi doanh nghiệp.
Cấu trúc này kết hợp lợi ích của cả hai loại tài khoản và với quy tắc bốn tài khoản của Tổ chức AWS (mặc định), cấu trúc này dường như được AWS thiết lập như mong muốn.