Anotações sobre o AWS Organizations para ajudar na preparação das certificações AWS.
Até o momento as anotações são para as certificações abaixo:
Definição do fornecedor
O AWS Organizations ajuda você a gerenciar e controlar seu ambiente de maneira centralizada à medida que os negócios e seus recursos da AWS expandem.
Usando o AWS Organizations, você pode criar novas contas da AWS e alocar recursos, agrupar contas para organizar seus fluxos de trabalho, aplicar políticas a contas ou grupos para governança e simplificar o faturamento usando um único método de pagamento para todas as suas contas.
Anotações gerais
- Global Service
- Para automatizar a criação de AWS Accounts
- Gerenciamento centralizado de todas as contas
- Agrupamento - OU
- Controle de serviços/API por conta
- Habilita CloudTrail em todas as contas para enviar os Log´s para um Bucket S3 central
- Envia todos os CloudWatch Logs para uma conta central
- Para remover uma conta, a conta AWS deve ser capaz de operar como uma conta autônoma. Só então ele pode ser removido das organizações AWS
Consolidated Billing
- Descontos
- Volume
- Reserved Instances
- Só recebe os descontos se as EC2 estiverem na mesma AZ
- Saving Plans
- Uma invoice
Service Control Polices (SCP)
- Política da organização que você pode usar para gerenciar permissões em sua organização.
- Um SCP abrange todos os usuários, grupos e funções do IAM, incluindo o usuário raiz da conta da AWS.
- Whitelist e Black List
- Apply OU ou Account level
- Não é aplicado na conta Master
- Aplica em todos os usuários e roles, incluindo o root
- Deve ter a permissão Explicito
Organizational unit (OU)
Uma maneira mais fácil de controlar o acesso aos recursos da AWS usando a organização AWS dos principais IAM
Para alguns serviços, você concede permissões usando resource-based policies para especificar as contas e principais que podem acessar o recurso e quais ações podem executar nele.
- aws:PrincipalOrgID - nessas políticas para exigir que todos os principais que acessam o recurso sejam de uma conta (incluindo a conta mestra) na organização.
Exemplo
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowGetObject",
"Effect": "Allow",
"Principal": {
"AWS":[
"arn:aws:iam::094697565664:user/Casey",
"arn:aws:iam::094697565664:user/David",
"arn:aws:iam::094697565664:user/Tom",
"arn:aws:iam::094697565664:user/Michael",
"arn:aws:iam::094697565664:user/Brenda",
"arn:aws:iam::094697565664:user/Lisa",
"arn:aws:iam::094697565664:user/Norman",
"arn:aws:iam::094697565646:user/Steve",
"arn:aws:iam::087695765465:user/Douglas",
"arn:aws:iam::087695765465:user/Michelle"
]
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::2018-Financial-Data/*",
** "Condition": {"StringEquals":
{"aws:PrincipalOrgID": [ "o-yyyyyyyyyy" ]}
}**
}
]
}
Top comments (0)