- vừa được xem lúc

AWS Certified Solutions Architect Professional -Identity Federation - AWS Organizations

0 0 9

Người đăng: Quân Huỳnh

Theo Viblo Asia

Introduction

A quick note about AWS Organizations. This post is a quick note from the course Ultimate AWS Certified Solutions Architect Professional by Stephane Maarek. The only purpose of this post is a summary, if you want detailed learning, please buy a course by Stephane Maarek.

image.png

AWS Organizations

AWS Organizations is an account management service that lets you manage multiple AWS accounts in an organization. You can create member accounts and invite existing accounts to join your organization, organize those accounts into groups and attach policy-based controls.

AWS Organizations can organize the accounts in a hierarchy, with a root at the top and organizational units nested under the root.

image.png

Root

The parent container for all the accounts for your organization. If you apply a policy to the root, it applies to all organizational units (OUs) and accounts in the organization.

Management Account

The root contains our management account, which is an account that will be used for all administration purposes.

  • Create accounts in the organization.
  • Invite other existing accounts to the organization.
  • Remove accounts from the organization.
  • Manage invitations.
  • Apply policies to entities (roots, OUs, or accounts) within the organization.

Organizational Unit (OU)

A container for accounts within a root. An OU also can contain other OUs, enabling you to create a hierarchy that resembles an upside-down tree with a root at the top.

When you attach a policy to one of the OU, it flows down and affects all the nested OUs.

Member accounts

A member account is the AWS account. An account can be a member of only one organization at a time. You can attach a policy to an account to apply controls to only that one account.

Organization Account Access Role

When you create a member account using the AWS Organizations console, AWS Organizations automatically creates an IAM role named OrganizationAccountAccessRole in the account. This role has full administrative permissions in the member account.

However, member accounts that you invite to join your organization do not automatically get an administrator role created. You have to do this manually, see Creating the OrganizationAccountAccessRole in an invited member.

image.png

Multi Account Strategies

Create accounts per department, per cost center, per dev/test/prod, based on regulatory restrictions (using SCP), for better resource isolation (ex: VPC), to have separate per-account service limits, isolated account for logging.

Use tagging standards for billing purposes.

Enable CloudTrail on all accounts, and send logs to the central S3 account.

Send CloudWatch Logs to the central logging account.

Strategy to create an account for security.

For example.

  1. We have a business unit type of OU that manage account per department.

image.png

  1. We have an env unit type of OU that manage account per environment.

image.png

  1. We have a project unit type of OU that manage account per project.

image.png

Feature Modes

There are two feature modes of AWS Organization you need to know for the example.

Consolidated billing features:

  • Consolidated Billing across all accounts — single payment method.
  • Pricing benefits from aggregated usage (volume discount for EC2, S3…).

All Features (Default):

  • Includes consolidated billing features, SCP.
  • Invited accounts must approve enabling all features.
  • Ability to apply an SCP to prevent member accounts from leaving the org.
  • Can’t switch back to Consolidated Billing Features only.

Reserved Instances in AWS Organizations

For billing purposes, the consolidated billing feature of AWS Organizations treats all the accounts in the organization as one account.

This means that all accounts in the organization can receive the hourly cost the benefit of Reserved Instances that are purchased by any other account.

The payer account (Management account) of an organization can turn off Reserved Instance (RI) discount and Savings Plans discount sharing for any accounts in that organization, including the payer account.

This means that RIs and Savings Plans discounts aren’t shared among any accounts that have sharing turned off.

To share an RI or Savings Plans discount with an account, both accounts must have sharing turned on.

End

End note about AWS Organizations.

Bình luận

Bài viết tương tự

- vừa được xem lúc

PDF Export, cẩn thận với những input có thể truyền vào

Giới thiệu. Dạo gần đây mình tình cờ gặp rất nhiều lỗi XSS, tuy nhiên trang đó lại có sử dụng dữ liệu người dùng input vào để export ra PDF.

0 0 66

- vừa được xem lúc

Giới thiệu về AWS Batch

Khi sử dụng hệ thống cloud service, điều chúng ta thường phải quan tâm đến không chỉ là hiệu suất hoạt động (performance) mà còn phải chú ý đến cả chi phí bỏ ra để duy trì hoạt động của hệ thống. Chắn hẳn là hệ thống lớn hay nhỏ nào cũng đã từng phải dùng đến những instance chuyên để chạy batch thực

0 0 143

- vừa được xem lúc

Tìm hiểu về AWS KMS

1. AWS KMS là gì. Ở KMS bạn có thể lựa chọn tạo symetric key (khóa đối xứng) hoặc asymetric key (khóa bất đối xứng) để làm CMK (Customer Master Key). Sau khi tạo key thì có thể thiết đặt key policy để control quyền access và sử dụng key.

0 0 66

- vừa được xem lúc

AWS VPC cho người mới bắt đầu

Tuần này, tôi trình bày lại những gì tôi đã học được về Virtual Private Cloud (VPC) của Amazon. Nếu bạn muốn xem những gì tôi đã học được về AWS, hãy xem Tổng quan về DynamoDB và Tổng quan về S3. VPC là gì. Những điều cần lưu ý:.

0 0 84

- vừa được xem lúc

AWS Essentials (Phần 6): Guildline SNS Basic trên AWS

Tiếp tục với chuỗi bài viết về Basic AWS Setting, chúng ta tiếp tục tìm hiểu tiếp tới SNS (Simple Notification Service). Đây là một service của AWS cho phép người dùng setting thực hiện gửi email, text message hay push notification tự động tới mobile device dựa trên event người dùng setting phía AWS

0 0 145

- vừa được xem lúc

Sử dụng Amazon CloudFront Content Delivery Network với Private S3 Bucket — Signing URLs

Trong nhiều trường hợp, thì việc sử dụng CDN là bắt buộc. Mình đã trải nghiệm với một số CDN nhưng cuối cùng mình lựa chọn sử dụng AWS CloudFront.

0 0 117