Due modi esistono per gestire l’accesso dei dipendenti alla società AWS account—IAM utenti e AWS Organizzazioni. Entrambi hanno i loro usi, ma è importante evidenziare le differenze, mentre la pianificazione vostro AWS struttura di autorizzazione.
Risposta Breve: Entrambi, In Realtà
Che si dovrebbe utilizzare? La risposta è entrambe le cose, perché IAM Utenti e AWS le aziende a fare cose diverse. Mentre sono simili in superficie, sono progettati per i diversi obiettivi.
IAM gli utenti sono un ottimo modo per gestire l’accesso per i dipendenti. Essi consentono di autenticare i dipendenti di un “sub-account” con autorizzazioni limitate. Questo autorizzazioni di sistema di gestione è fondamentale per la segmentazione di accesso dei dipendenti ai tuoi AWS risorse.
IAM gli utenti sono utilizzati anche per autenticare l’account di servizio. Per esempio, se hai AWS CLI in esecuzione su un’istanza EC2 e vuole dare l’accesso per gestire un S3 secchio, si può fare con un IAM utente, in modo che non dovete lasciare la vostra radice le credenziali di un account su un server remoto.
AWS Organizzazioni che fa qualcosa di simile. Consente di creare un vero e proprio sub-account che sono completamente separati dal conto principale, completare con le proprie autorizzazioni, il tutto mantenendo centrale di fatturazione e di controllo. Si potrebbe pensare che questo sarebbe un ottimo modo per dare l’accesso dei dipendenti, ma le Organizzazioni non è fatta per questo.
Il problema principale è che è limitato a quattro account per impostazione predefinita. Mentre è possibile richiedere un aumento del limite, il limite è qui per un motivo, tutti della vostra Organizzazione, i conti sono completamente separati. Questo significa che se si ha un sviluppatore che lavora su un DynamoDB tabella in conto proprio, sarebbe invisibile a tutti gli altri dipendenti.
Che cosa si vuole veramente è tutti i dipendenti a lavorare insieme in un ambiente condiviso. Il miglior setup per quasi qualsiasi azienda sarebbe come segue:
- Utilizzare AWS Organizzazioni, e creare separata conti per lo sviluppo e la produzione. Ci vuole un po di stress fuori della vostra sviluppatori, e consentono di dare loro più lax autorizzazioni dell’ambiente di sviluppo, senza la paura che possano rovinare il vostro server di produzione.
- Si potrebbe anche voler creare due ambienti: la sperimentazione, che contiene pulire dati fittizi e viene utilizzato dal QE team per l’esecuzione automatica di costruzioni, e la messa in scena, un mirror completo di produzione utilizzati per la cattura di eventuali bug che possono sorgere utilizzando Api pubbliche e dati reali prima che realmente interessano i clienti.
- All’interno dell’ambiente di sviluppo, creare più IAM agli utenti di dare accesso gestiti per i vostri dipendenti.
- Ripetere lo stesso processo per il QE della squadra in fase di test, e per il project manager e gli architetti di soluzioni per la stadiazione. La produzione dovrebbe essere aggiornato solo da persone autorizzate, e, naturalmente, contengono lo IAM di account di servizio di cui ha bisogno per funzionare correttamente.
Questa struttura combina i vantaggi di entrambi i tipi di account, e sembra essere come AWS si vuole impostare, dato che i quattro account regola (di default) di AWS Organizzazione.