DEV Community

Rodrigo Fernandes
Rodrigo Fernandes

Posted on

AWS Organizations

Anotações sobre o AWS Organizations para ajudar na preparação das certificações AWS.

Até o momento as anotações são para as certificações abaixo:

Image description


Definição do fornecedor

O AWS Organizations ajuda você a gerenciar e controlar seu ambiente de maneira centralizada à medida que os negócios e seus recursos da AWS expandem.
Usando o AWS Organizations, você pode criar novas contas da AWS e alocar recursos, agrupar contas para organizar seus fluxos de trabalho, aplicar políticas a contas ou grupos para governança e simplificar o faturamento usando um único método de pagamento para todas as suas contas.


Anotações gerais

  • Global Service
  • Para automatizar a criação de AWS Accounts
  • Gerenciamento centralizado de todas as contas
  • Agrupamento - OU
  • Controle de serviços/API por conta
  • Habilita CloudTrail em todas as contas para enviar os Log´s para um Bucket S3 central
  • Envia todos os CloudWatch Logs para uma conta central
  • Para remover uma conta, a conta AWS deve ser capaz de operar como uma conta autônoma. Só então ele pode ser removido das organizações AWS

Consolidated Billing

Documentação oficial

  • Descontos
  • Volume
  • Reserved Instances
  • Só recebe os descontos se as EC2 estiverem na mesma AZ
  • Saving Plans
  • Uma invoice

Service Control Polices (SCP)

Documentação oficial

  • Política da organização que você pode usar para gerenciar permissões em sua organização.
  • Um SCP abrange todos os usuários, grupos e funções do IAM, incluindo o usuário raiz da conta da AWS.
  • Whitelist e Black List
  • Apply OU ou Account level
  • Não é aplicado na conta Master
  • Aplica em todos os usuários e roles, incluindo o root
  • Deve ter a permissão Explicito

Organizational unit (OU)

Documentação oficial


Uma maneira mais fácil de controlar o acesso aos recursos da AWS usando a organização AWS dos principais IAM

Documentação oficial

Para alguns serviços, você concede permissões usando resource-based policies para especificar as contas e principais que podem acessar o recurso e quais ações podem executar nele.

  • aws:PrincipalOrgID - nessas políticas para exigir que todos os principais que acessam o recurso sejam de uma conta (incluindo a conta mestra) na organização.

Exemplo

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowGetObject",
            "Effect": "Allow",
            "Principal": {
                "AWS":[
                        "arn:aws:iam::094697565664:user/Casey",
                        "arn:aws:iam::094697565664:user/David",
                        "arn:aws:iam::094697565664:user/Tom",
                        "arn:aws:iam::094697565664:user/Michael",
                        "arn:aws:iam::094697565664:user/Brenda",
                        "arn:aws:iam::094697565664:user/Lisa",
                        "arn:aws:iam::094697565664:user/Norman",
                        "arn:aws:iam::094697565646:user/Steve",
                        "arn:aws:iam::087695765465:user/Douglas",
                        "arn:aws:iam::087695765465:user/Michelle"
]
},
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::2018-Financial-Data/*",
**            "Condition": {"StringEquals": 
                             {"aws:PrincipalOrgID": [ "o-yyyyyyyyyy" ]}
                         }**
        }
    ]
}
Enter fullscreen mode Exit fullscreen mode

Top comments (0)