我正在阅读AWS Identity and Access Management (IAM)和AWS Organizations。
他们都给了我们新的帐户和应用的政策:
- AWS 组织:将策略应用于账户。
- IAM:使您能够安全地控制用户对 AWS 服务和资源的访问。
问题:
那么它们之间有什么区别呢?
我应该如何使用该服务而不是其他服务?
我已经阅读了这篇文章,这只是给了我“可用于 AWS 的合并计费功能的 OU”
问问题
1990 次
2 回答
8
AWS Organizations 控制来自“父”AWS 账户的多个 AWS 账户的权限。例如,如果公司的 IT 部门有一个 AWS 账户,而财务部门有另一个 AWS 账户,您可以使用“父级”中的 AWS Organizations 来限制这些账户中可以使用的服务,并监控它们的合规性。 ”或“根”AWS 账户。
AWS IAM 用于提供访问 AWS API 的权限。您将在特定 AWS 账户内创建 IAM 账户,以提供view/create/update/modify对该 AWS 账户内资源的访问权限。
当您开始进入跨账户 IAM 角色和 AWS Single Sign-On 等时,还有更多内容,但通常 AWS Organizations 用于管理多个 AWS 账户,而 IAM 用于管理对单个资源的访问AWS 账户。
于 2021-03-08T14:25:21.960 回答
1
我想给出我自己的答案。如果我错了,请随时纠正我。
希望这个答案对您有所帮助。加油^^!
更新
一个 IAM 组是为某些 IAM 用户设置一组特定的策略(权限)来访问某些资源;即:EC2、S3 等。但是,AWS 组织 OU 是一种管理多个 AWS 账户并将特定策略应用于账户组的方法。所以,这两个是非常不同的东西,它们取得了非常不同的结果。一些组织可以拥有 20、30 或更多的 AWS 账户,因此最好将它们放在组织单位、OU 中进行管理,以简化管理。
- 它们之间的主要区别是:
- AWS 组织:创建一个新的 AWS 账户(看起来您注册了一个新账户,但没有提供信用卡、其他信息等)。因此,您可以使用 AWS 的整合账单功能。
- IAM: 下的用户帐户
AWS Organization。
想象一下,您有一家拥有 root 帐户的 IT 公司,AWS Organization能够帮助您管理多个部门,例如:Development、Tester等。
通过这种方式,您可以控制每个部门的成本,同时单独保护每个部门的数据。
- 我应该如何使用该服务而不是其他服务?
您可以根据需要同时使用它们。
来自https://aws.amazon.com/organizations/的更详细描述
随着 AWS 资源的增长和扩展,AWS Organizations 可帮助您集中管理和管理您的环境。使用 AWS Organizations,您可以以编程方式创建新的 AWS 账户并分配资源,将账户分组以组织您的工作流程,将策略应用于账户或组以进行治理,并通过对所有账户使用单一付款方式来简化计费。
于 2021-03-08T07:14:24.580 回答