AWS Organizations如何确保云帐户安全?

日期:2017-3-14作者:Matthew Pascucci翻译:蒋红冰来源:TechTarget中国 英文

【TechTarget中国原创】

新的名为AWS Organizations的工具目的在于帮助确保云帐户管理的安全。专家Matthew Pascucci解释了这一工具的工作原理,以及对其与AWS IAM进行了对比。

在AWS re:Invent大会上,亚马逊推出了一个新工具,帮助管理员和安全管理员控制多个云帐户。该工具名为AWS Organizations ,允许管理员创建一组AWS账户。AWS Organizations 的安全优势是什么?与AWS IAM等现有安全工具进行比较它又如何,是它们的补充吗?

AWS Organizations 目的在于允许在Amazon Web Services(AWS)中工作的云管理员更安全高效地管理帐户。通常,AWS Organizations 创建可应用于用户/组的自定义策略,以管理安全性、创建更好的自动化和简化计费。 与AWS IAM(身份和访问管理)服务有一些重叠,但它们之间更加互补,它建立了已经到位的IAM策略。

AWS Organizations 允许在新实体下进行帐户管理。此实体构建在层次结构中,策略和组织单位可以在彼此之内构建以用于管理。我不禁想到第一次看到的微软Active Directory,但它适用于任何组织单位(OU)和层次结构。每个特定的OU可以应用于它策略,并且用户/组将继承它们所在的OU策略。这也意味着每个用户/组一次只能在一个OU中,但可以应用多个策略,因为OU可以嵌套。可以通过区域、用户、组或其他元素创建组。

对于AWS IAM和AWS Organizations ,可能会有一些重叠,但你可以将Organizations 视为包含用户权限的一种方式。IAM策略仍然可以创建,甚至可以通过Organizations 推送,但它是以确定最小特权的一道防护栏。如果用户违反这些政策,则可以使用黑名单或白名单政策来限制它们。这有助于保持用户的权限和安全性,以通过分层策略实施所需的权限。AWS Organizations 是IAM策略可以用来加强安全性的框架。

使用AWS Organizations 限制了用户帐户或脚本创建的手动过程,更简化地推动了帐户创建和策略实施。这将允许使用适当的权限创建组,并限制帐户能够执行的操作。使用服务控制策略(SCP)允许管理员创建策略,并将其应用于他们选择的任何OU或用户帐户上。

当设置AWS Organizations 后,主帐户就创建成功能了,它可用于合并结算,并提供了管理组织和SCP的能力。它并不建议你在这一个帐户下执行工作;委托你实际做什么。 主帐户可以控制一切。另外,启用AWS CloudTrail来验证帐户的操作也可能是明智的。

最后,AWS Organizations 服务允许在整个组织中 合并结算后设置单一的付款方式。AWS账户创建很难管理,因为它易于使用,但AWS Organizations允许您将这些账户绑定到一个位置并使用单一付款方式。虽然帐户必须作为这个方法的一部分,但它有助于创建更简单的方法来查看要记帐的内容,来跟踪你的AWS付款。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Matthew Pascucci
Matthew Pascucci

Matthew Pascucci是一家大型零售公司的信息安全工程师,他迥然不同漏洞和威胁管理、安全意识和日常安全操作。他写的各种信息安全出版物,已经为许多行业公司所借鉴。 Pascucci具有与网络安全相关的多年经验。

公共云计算服务>更多

技术手册>更多

  • 初识云计算

    云计算的概念越来越流行,Amazon、Google和IBM是第一批将云计算引入公众视线的公司。云计算就是新的Web2.0,一种既有技术上的市场绽放。

  • 云平台选择与部署指南

    云计算应用落地是一个很漫长的过程。在部署云计算之前,用户必须认识各个平台供应商及其云平台,然后根据自身架构选择合适的云平台投入运营。

  • 熔炉之云中DevOps

    在云计算、大数据等技术颠覆性趋势继续在应用经济下发挥作用的同时,DevOps也已经稳健地在业务思维方式中占有一席之地,并将在2015年扮演主要角色。

  • 移动云服务设计

    最好的移动设备管理策略将涉及手持终端中的托管移动设备代理功能,它需要得到设备制造商的支持和采购方的同意。这个代理能够监控设备、通知不寻常状态的所有者、在应用上实施政策以及为企业用户应用文件。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心