首頁

AWS SAA-C03 口袋筆記 - Identity & Access Management

 AWS Organization

  • 全球的服務, 允許同時管理多個AWS Accounts
  • 有分主要的management account, 和其他組織底下的member account
  • member account只能屬於一個organization底下
  • 集中帳戶、安全政策套用管理,單一帳單管理,享受集中管理帶來的價錢優惠。 
  • Organizational Units (OUs) 讓多個帳號分組在一個組織單位,以便用單一單位進行管理。把這個想像為IAM user group一樣, 只是後者管的IAM user.
    • OU可以是以環境去分配的(e.g. Dev, Prod...), 可以是以部門去分配的(e.g. RD, BD...), 可以是以專案去分配的(e.g. Proj1, Proj2...)
    • Service Control Policy (SCP) 用來管理組織底下的權限。IAM policies apply to OUs or Accounts, 進而去限制account底下的users / roles。
      • 不會套用在management account. 
      • 跟IAM一樣, 政策權限預設都是deny, 要特別allow才有。 

AWS Control Tower

  • 主要還是透過AWS Organization去建立、管理帳號,但這裡提供一個更簡單方便的地方,可以更快速、最佳實踐的方式建立多個環境、帳號、權限管理。
  • Guardrails 幫你持續治理所有帳號是否有符合最佳實踐的設定
    • Proactive controls: 透過AWS個服務本身管控 (e.g. CloudFormation)
    • Preventive controls: 透過SCP去管控
    • Detective controls: 透過AWS Config去監控

AWS IAM Identity Center (aka AWS Single Sign On)

  • 單一登入就能存取其他組織下的所有帳號。




Reference

  • https://www.udemy.com/course/aws-certified-solutions-architect-associate-saa-c03