動(dòng)手實(shí)驗(yàn) | 啟用 AWS Organizations 并添加成員賬號(hào)
實(shí)驗(yàn)?zāi)繕?biāo)
本次實(shí)驗(yàn)旨在通過 AWS 管理控制臺(tái),親手配置和體驗(yàn) AWS Organizations 服務(wù)。主要作業(yè)包括兩部分:首先,在一個(gè)已有的管理賬號(hào)中啟用 AWS Organizations,并選擇啟用所有功能特性;其次,學(xué)習(xí)并實(shí)踐向該組織內(nèi)添加一個(gè)新的成員賬號(hào)。通過此實(shí)驗(yàn),將會(huì)掌握構(gòu)建多賬號(hào) AWS 環(huán)境的基礎(chǔ)框架,理解管理賬號(hào)與成員賬號(hào)之間的管控關(guān)系,為未來實(shí)現(xiàn)集中式資源管理、成本合并及安全策略落地打下堅(jiān)實(shí)基礎(chǔ)。
技術(shù)要點(diǎn)
AWS Organizations 是一項(xiàng)核心的賬號(hào)治理服務(wù),它允許將多個(gè) AWS 賬號(hào)整合到一個(gè)集中管理的“組織”單元中。啟用后,初始的賬號(hào)自動(dòng)成為管理賬號(hào),擁有絕對(duì)控制權(quán),而后續(xù)加入的則為成員賬號(hào)。管理賬號(hào)可以執(zhí)行的服務(wù)控制策略(SCP)是組織最重要的功能之一,它像一張“中央防火墻策略”,能為所有成員賬號(hào)設(shè)置統(tǒng)一的權(quán)限邊界,即使賬號(hào)內(nèi)的 IAM 管理員也無法越界。此外,組織還支持整合賬單、跨賬號(hào)資源訪問等便利。在啟用時(shí),可以選擇“所有功能”模式以解鎖 SCP 等高級(jí)管控能力,或“整合賬單”模式僅用于財(cái)務(wù)合并。本實(shí)驗(yàn)將采用“所有功能”模式,以體驗(yàn)其完整的治理能力。
作業(yè)步驟
本次采用 AWS Console 界面完成作業(yè)。
注意:根據(jù)項(xiàng)目的具體情況,可以采用不同的實(shí)施方法。比如使用命令行(CLI)部署、代碼部署 (CloudFomation、Terraform 等)、以及其它開發(fā)語言(SDK)完成作業(yè)。
步驟一:啟用 AWS Organizations
點(diǎn)擊頁面中央的“創(chuàng)建組織”按鈕。系統(tǒng)將展示功能介紹,并提示選擇功能集。請(qǐng)務(wù)必選擇 “所有功能” ,然后點(diǎn)擊“創(chuàng)建組織”。AWS 將自動(dòng)以當(dāng)前賬號(hào)為根創(chuàng)建組織,并生成一個(gè)根組織單元(Root OU)。
步驟二:確認(rèn)狀態(tài)
創(chuàng)建成功后,頁面將刷新。在“組織”儀表板上,可以看到本組織的唯一 ID,以及功能集顯示為“所有功能”。
步驟三:邀請(qǐng) AWS 賬戶
在“賬戶”標(biāo)簽頁下,點(diǎn)擊“邀請(qǐng)”按鈕。
步驟四:選擇邀請(qǐng)現(xiàn)有 AWS 賬戶
可以同時(shí)邀請(qǐng)一個(gè)或多個(gè)現(xiàn)有 AWS 賬戶加入組織來向組織添加 AWS 賬戶。
步驟五:發(fā)送邀請(qǐng)
AWS Organizations 會(huì)向每個(gè)受邀賬戶的擁有者發(fā)送一封電子郵件。
步驟六:受邀請(qǐng) AWS 賬戶同意加入
受邀請(qǐng) AWS 賬戶的賬戶擁有人通過點(diǎn)擊郵件中的鏈接并接受邀請(qǐng),完成加入過程。
結(jié)果驗(yàn)證
實(shí)驗(yàn)完成后,將擁有一個(gè)結(jié)構(gòu)清晰、功能完整的 AWS 組織。
1. 在 Organizations 服務(wù)控制臺(tái)的“儀表板”上,已經(jīng)顯示組織內(nèi)的所有被邀請(qǐng)賬戶。
2. 可以創(chuàng)建組織單元(OU),為根 OU 或創(chuàng)建新的 OU,可以將成員賬號(hào)移動(dòng)到新 OU 中,進(jìn)行基本的資源分組管理。