几年前,我的公司(一家没有客户或外部接口的内向型机构)已将所有操作从本地数据中心转移到 AWS,主要转移到少数几个大型 AWS 账户(网络、管理、计费、沙盒、开发、测试,产品)。开发人员在这个初始设置中一直很难进行创新,因为 IAM 策略和服务白名单由于这些帐户的共享性质而必须非常严格。
所以,我们现在最忙的事情是引入更多帐户,例如每个产品或开发团队三个开发/测试/产品帐户。有几个关键账户围绕这些产品账户创建护栏(网络 VPC 提供、安全扫描、日志/报告等......)。每个开发团队的独立帐户三元组将意味着他们所做的事情的飞溅半径将更容易通过帐户间防火墙、安全组等来控制……一旦开发人员获得他们的帐户,他们也可以获得一个管理员帐户来更自由地探索,并且如果他们做了一些可疑的事情(例如,一台机器向 0.0.0.0/0 开放了所有端口),我们很快就会让 Turbot.com 对流氓资源/帐户进行核对。
看起来很容易,但出于某种原因,我不会在此处提及的我们的第 3 方帐户/计费提供商一直面临着为我们提供新帐户的挑战(当我们开始新项目时,我们正在谈论数十个帐户三联体/内部应用程序)。
我对几件事感到困惑:
- 为什么我们的内部云团队不直接从 AWS 购买账户?
- 他们没有迅速提供新帐户可能是什么问题?
- 该服务提供的复杂性是什么?
- 它们是如何构建的?
- 他们如何提供安全性、IAM 和维护我们的根凭证?我了解我们被限制使用他们为自己保留的某些名称创建角色和策略
- 以他们的方式自动配置第 3 方 AWS 账户需要什么?我知道他们有点拥有我们的每个帐户,并且计费汇总到他们可以控制的特定帐户。
我试图了解他们所做工作的复杂性以及是否有替代路线。作为一名开发人员,我一直在内部等待我的帐户数周,我正在寻找答案。对我来说,这看起来像是过去任意决定的繁文缛节。