Header Ads

Home / Notícias / Você deve usar usuários IAM ou organizações AWS?

Você deve usar usuários IAM ou organizações AWS?

sábado, agosto 14, 2021

Existem duas maneiras principais de gerenciar o acesso do funcionário à conta da AWS de sua empresa — usuários do IAM e organizações da AWS. Ambos têm seus usos, mas é importante destacar as diferenças ao planejar sua estrutura de permissão da AWS.

Resposta curta: Ambos, na verdade

Qual você deve usar? A resposta é as duas coisas, porque os usuários do IAM e as organizações da AWS fazem coisas diferentes. Embora sejam semelhantes na superfície, são projetados para objetivos diferentes.

Os usuários do IAM são uma ótima maneira de gerenciar o acesso dos funcionários. Eles permitem que você autentique funcionários em uma “ subconta ” com permissões limitadas. Este sistema de gerenciamento de permissões é crucial para segmentar o acesso de funcionários aos recursos da AWS.

Os usuários do

do IAM também são usados ​​para autenticar contas de serviço. Por exemplo, se você tem o AWS CLI em execução em uma instância EC2 e deseja dar a ele acesso para gerenciar um intervalo S3, pode fazer isso com um usuário IAM para que não precise deixar seu root credenciais da conta em um servidor remoto.

O AWS Organizations faz algo semelhante. Ele permite que você crie subcontas reais que são totalmente separadas da conta principal, completas com suas próprias permissões, tudo isso enquanto mantém o faturamento e o controle centrais. Você pode achar que essa seria uma ótima maneira de conceder acesso aos funcionários, mas as organizações não foram feitas para isso.

Publicidade

O principal problema é que você está limitado a quatro contas por padrão. Embora você possa solicitar um aumento de limite, o limite existe por um motivo — todas as contas da sua organização são totalmente separadas. Isso significa que se você tivesse um desenvolvedor trabalhando em uma tabela do DynamoDB em sua própria conta, ela seria invisível para todos os outros funcionários.

O que você realmente deseja é que todos os seus funcionários trabalhem juntos em um ambiente compartilhado. A melhor configuração para quase qualquer empresa seria a seguinte:

  • Use o AWS Organizations e crie contas separadas para desenvolvimento e produção. Isso tira um pouco do estresse de seus desenvolvedores e permite que você dê a eles permissões mais relaxadas no ambiente de desenvolvimento sem medo de que eles possam bagunçar seus servidores de produção.
  • Você também pode querer criar mais dois ambientes: teste , que contém dados fictícios limpos e é usado pela equipe de QE para executar compilações automatizadas; e teste, um espelho completo de produção usado para detectar quaisquer bugs que possam surgir usando APIs públicas e dados reais antes que afetem os clientes.
  • Dentro do ambiente de desenvolvimento, crie vários usuários IAM para fornecer acesso gerenciado ao seu funcionários.
  • Repita o mesmo processo para sua equipe de QE no teste e para os gerentes de projeto e arquitetos de soluções na preparação. A produção só deve ser atualizada por pessoas muito autorizadas e, é claro, conter as contas de serviço IAM de que precisa para funcionar corretamente.

Esta estrutura combina os benefícios de ambos os tipos de contas e parece ser como a AWS deseja que você a configure, dada a regra de quatro contas (por padrão) da Organização AWS.

Nenhum comentário

Assinar: Postar comentários ( Atom )