AWS Organizations如何确保云帐户安全?

日期:2017-3-14作者:Matthew Pascucci翻译:蒋红冰来源:TechTarget中国 英文

【TechTarget中国原创】

新的名为AWS Organizations的工具目的在于帮助确保云帐户管理的安全。专家Matthew Pascucci解释了这一工具的工作原理,以及对其与AWS IAM进行了对比。

在AWS re:Invent大会上,亚马逊推出了一个新工具,帮助管理员和安全管理员控制多个云帐户。该工具名为AWS Organizations ,允许管理员创建一组AWS账户。AWS Organizations 的安全优势是什么?与AWS IAM等现有安全工具进行比较它又如何,是它们的补充吗?

AWS Organizations 目的在于允许在Amazon Web Services(AWS)中工作的云管理员更安全高效地管理帐户。通常,AWS Organizations 创建可应用于用户/组的自定义策略,以管理安全性、创建更好的自动化和简化计费。 与AWS IAM(身份和访问管理)服务有一些重叠,但它们之间更加互补,它建立了已经到位的IAM策略。

AWS Organizations 允许在新实体下进行帐户管理。此实体构建在层次结构中,策略和组织单位可以在彼此之内构建以用于管理。我不禁想到第一次看到的微软Active Directory,但它适用于任何组织单位(OU)和层次结构。每个特定的OU可以应用于它策略,并且用户/组将继承它们所在的OU策略。这也意味着每个用户/组一次只能在一个OU中,但可以应用多个策略,因为OU可以嵌套。可以通过区域、用户、组或其他元素创建组。

对于AWS IAM和AWS Organizations ,可能会有一些重叠,但你可以将Organizations 视为包含用户权限的一种方式。IAM策略仍然可以创建,甚至可以通过Organizations 推送,但它是以确定最小特权的一道防护栏。如果用户违反这些政策,则可以使用黑名单或白名单政策来限制它们。这有助于保持用户的权限和安全性,以通过分层策略实施所需的权限。AWS Organizations 是IAM策略可以用来加强安全性的框架。

使用AWS Organizations 限制了用户帐户或脚本创建的手动过程,更简化地推动了帐户创建和策略实施。这将允许使用适当的权限创建组,并限制帐户能够执行的操作。使用服务控制策略(SCP)允许管理员创建策略,并将其应用于他们选择的任何OU或用户帐户上。

当设置AWS Organizations 后,主帐户就创建成功能了,它可用于合并结算,并提供了管理组织和SCP的能力。它并不建议你在这一个帐户下执行工作;委托你实际做什么。 主帐户可以控制一切。另外,启用AWS CloudTrail来验证帐户的操作也可能是明智的。

最后,AWS Organizations 服务允许在整个组织中 合并结算后设置单一的付款方式。AWS账户创建很难管理,因为它易于使用,但AWS Organizations允许您将这些账户绑定到一个位置并使用单一付款方式。虽然帐户必须作为这个方法的一部分,但它有助于创建更简单的方法来查看要记帐的内容,来跟踪你的AWS付款。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Matthew Pascucci
Matthew Pascucci

Matthew Pascucci是一家大型零售公司的信息安全工程师,他迥然不同漏洞和威胁管理、安全意识和日常安全操作。他写的各种信息安全出版物,已经为许多行业公司所借鉴。 Pascucci具有与网络安全相关的多年经验。

公共云计算服务>更多

  • 谷歌云平台展望更高级别服务

    谷歌公司一方面降价一方面还增加了大量的新功能,以试图缩短其与AWS之间的距离,它展望公共云未来并宣称将推出更高级的服务。

  • AWS Organizations如何确保云帐户安全?

    在AWS re:Invent大会上,亚马逊推出了一个新工具,帮助管理员和安全管理员控制多个云帐户。该工具名为AWS Organizations,允许管理员创建一组AWS账户。

  • Azure计划保护客户IP免受专利巨头的蹂躏

    Microsoft是第一个拥有应用程序来专门保护其客户的知识产权(IP)免受非执行实体(更常称为专利巨头)提起的诉讼的一家云厂商。

  • 问问工作负载适合谷歌云实例吗?

    并不是所有的工作负载都是相同的——有些需要更多的CPU资源,而其他的一些则需要更多的内存资源。值得庆幸的是,谷歌云实例类型为企业用户提供了众多选项。

技术手册>更多

  • 购买云服务注意事项指南

    如果你需要数据中心有更多的计算或存储容量,但资本费用却成问题,那么公共云计算服务是一个很不错的选择。你可以根据需要获得可无限扩展的IT资源,只要为实际使用的那部分付费。但是在公共云中运行企业应用程序并不像有些提供商所说的那么简单。这本指南中的这些实用的指导准则探讨了购买云服务时要考虑的方面以及要提出的问题。

  • 私有云安全风险与部署技巧指导

    与传统数据中心相比,私有云架构的定义是什么呢?私有云环境的安全风险是什么?企业如何建立虚拟云环境虚拟服务器连接?本技术手册将为您一一讲解。

  • 移动云计算应用开发全解

    在过去,移动应用一直被分为本地应用程序或网络应用程序两类。在这本技术手册中,我们把网络应用程序归类为移动云应用范畴,因为网络应用程序在移动设备之外运行,而其数据存储也在移动设备以外。“移动云计算”一词通常是指被扩展以处理移动设备的企业云计算基础设施。被提供给用户使用的数据存储和计算处理资源都在云计算平台端而不是在移动设备本身。下面我们就来看看如何开发出顺应BYOD趋势的完整移动云应用。

  • 调查报告:云计算应用趋势以及成本分析

    企业选择采用公有云服务或者构建私有云的原因多种多样,但都是为了和企业的目标保持一致。TechTarget调查结果显示了这些动机,本报告揭示了潜在的云应用趋势和成本分析。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心