IAM + OU Condition

IAM в рамках #multi_account_strategy тренда продолжает обрастать функционалом для #Organizations и теперь позволяет управлять доступом для OU (Organization Unit):

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths

Например, для мультиаккаунтной схемы типа этой, можно сделать общий бакет для проекта Project1 и в него будут иметь доступ все dev-test-stg-prd аккаунты OU Project1:

{
 "Sid": "Full access for Project1 OU",
 "Effect": "Allow",
 "Principal": {
  "AWS": "*"
 },
 "Action": "s3:*",
 "Resource": [
  "arn:aws:s3:::project1-bucket",
  "arn:aws:s3:::project1-bucket/*"
 ],
 "Condition": {
  "ForAnyValue:StringLike": {
    "aws:PrincipalOrgPaths":["o-dtj1bor777/ou-d1n7-h8xzxidp*"]
  }
 }
}

#IAM #S3 #Organizations

​​100 EKS кластеров в одном регионе для тех, кто так и не освоил #multi_account_strategy:

https://aws.amazon.com/about-aws/whats-new/2019/11/amazon-eks-increases-limits-to-100-clusters-per-region/

#EKS

Мульти-аккаунт стратегия: плюсы, минусы, подводные камни

https://www.youtube.com/watch?v=Au1MGWiriGM

#multi_account_strategy #video

Главное на Амазоне за 2017-2018-2019 — AWS Organizations

От денег перейдём к организационной структуре. За это время с "верхнеуровневой" частью управления компанией на Амазоне поменялось ПОЛНОСТЬЮ ВСЁ — три года назад появился сервис AWS Organizations.

https://aws.amazon.com/organizations/

И если про AWS Organizations вы не слышали или если и слышали, то не особо вникали и не пользовались, то знайте — вы совсем не понимаете, как (теперь) работает AWS.

AWS Organizations — базовый элемент для обеспечения безопасности, современный проект вряд ли пройдёт аудит без использования Organizations, а при наличии каких-то Compliance требований вообще просто без шансов. Это опуская все моменты, которые AWS Organizations даёт по работе в увеличению эффективности работы - как на уровне управления командами и проектами, так и по части эффективного использования ресурсов и их оплаты.

Тут часто упоминались и будет упоминаться термин #Multi_Account_Strategy или просто "мульти-аккаунты", который есть немного жаргонное обозначение использования AWS Organizations. Кто не видел — можно посмотреть это видео по мультиаккаунтам.

Если всё равно не ясно, для чего AWS Organizations, то приведу следующую аналогию (для кого-то грубую и спорную). Относиться к использованию мультиаккаунтов (AWS Organizations) — это примерно как многие до сих пор относятся к докерам (правильней — контейнеризации вообще). Называя это "лишним уровнем абстракции", "потерей производительности" и "прочей ленью разработчиков, неспособных разобраться с зависимостями".

Неверующие в докер не заметили, как вся индустрия де-факто переходит/перешла на использование контейнеризации чуть меньше, чем везде. И если для поддержки старых проектов понятно, то для реализации новых, без контейнеризации — это изначально закладывать отставание от других и последующую переделку.

Аналогично и AWS Organizations, не используя мульти-аккаунт подход — вы остаёте. Безопасность, эффективность, управляемость, а точней, их отсутствие (что невозможно на сегодняшнем Амазоне без AWS Organizations) — радикально уменьшают шансы на успех вашего стартапа.

Переход на мульти-аккаунт схему требует времени, ресурсов, знаний. Равно как и, в своё время, требовал затрат переход на Docker, CI/CD, IaC, Kubernetes и другие современные подходы, которые на выходе дают большую гибкость, скорость, эффективность.

Итого по организации. Три года назад завезли совсем другой Амазон. Если вы этого не заметили — разберитесь и используйте AWS Organizations. Без него сейчас никак. Он теперь такой же базовый, как S3.

#главное #Organizations

​​Рекомендации AWS по мульти-аккаунтам:

https://aws.amazon.com/organizations/getting-started/best-practices/

#Organizations #best_practices #multi_account_strategy

Современные способы создания сетевой инфраструктуры AWS:

https://d1.awsstatic.com/whitepapers/building-a-scalable-and-secure-multi-vpc-aws-network-infrastructure.pdf

От VPC Peering и Transit VPC к Transit Gateway и Shared VPC. А также PrivateLink, Direct Connect и другие Networking возможности AWS, в том числе с учётом #multi_account_strategy.

#networking #best_practices

​​Использование Control Tower для управления организацией в мульти-аккаунт схеме:

https://aws.amazon.com/blogs/apn/reducing-the-cost-of-managing-multiple-aws-accounts-using-aws-control-tower/

Расписаны отличия Control Tower от AWS Landing Zone и что в нём было урезано в последней версии для упрощения развёртывания.

#ControlTower #multi_account_strategy

Когда у вас больше, чем один Transit Gateway (TGW) и постоянно растущее кол-во VPC, то подключение очередной в общую сеть становится весьма непростой задачей.

Это (подключение TGW аттачментов вместе с настройкой route tables для TGW) можно автоматизировать, чтобы было досточно добавить тэг к VPC, а Лямбды уже подхватят и сделают нужное за вас.

Называется эта штука STNO (Serverless Transit Network Orchestrator solution) :

https://aws.amazon.com/blogs/mt/serverless-transit-network-orchestrator-stno-in-control-tower/

Актуально для тех, кто работает с TGW и имеет распределённую по многим аккаунтам инфраструктуру, которую нужно связывать в единую сеть.

Детали по работе STNO есть в великолепном видео по работе TGW:

https://www.youtube.com/watch?v=9Nikqn_02Oc

#TransitGateway #multi_account_strategy

Лучшие практики использования OU (Organizational Units) в мульти-аккаунтах:

https://aws.amazon.com/blogs/mt/best-practices-for-organizational-units-with-aws-organizations/

#best_practices #multi_account_strategy #Organizations

Утилита для работы в мульти-аккаунтной среде от Netflix:

https://github.com/Netflix/consoleme

#multi_account_strategy

​​Superwerker

Кто про что, а в̶ш̶и̶в̶ы̶й̶ ̶п̶р̶о̶ ̶б̶а̶н̶ю̶ я про AWS Organizations. Которой в этом году исполнится пять лет. И, значит, уже пятый год мы живём без гуманной процедуры удаления аккаунта, без временных аккаунтов.

За это время использование #multi_account_strategy стало обязательной практикой, в помощь чему появился сервис Control Tower, который в прошлом году обзавёлся возможностью работать в том числе и в существующей организации.

Однако порог входа для начала работы с лучшими практиками, которые даёт Organizations, пока по-прежнему высок. В попытке его снизить, намедни появился новый open source инструмент – superwerker:

https://github.com/superwerker/superwerker

Хороший набор #security #best_practices, правда, хороший – самое основное, что нужно иметь. Идеи по управлению аккаунтами в том числе позаимстованы из AWS Account Controller от Ian Mckay. Модный event-driven подход, (практически) бесплатные Лямбды.

Если бы хотел начать – точно бы обратил внимание. Заявленные фичи действительно самые нужные-востребованные:

▪️ Control Tower
▪️ AWS SSO
▪️ GuardDuty+dashboards
▪️ Security Hub+dashboards
▪️ AWS Backup
▪️ AWS Budgets
▪️ SCP guardrails
▪️ SSM+OpsCenter
▪️ CloudWatch dashboard

То, что (в первой версии) нет сетевой части, по мне так это и к лучшему. Система расширяемая и новые фичи вскоре наверняка будут с излишком.

Установка Superwerker официально доступна в качестве AWS Quick Start:

https://aws.amazon.com/quickstart/architecture/superwerker/

Хорошая штука, в общем. Можно рекомендовать.

#Organizations

AWS User Group Netherlands Meetup 2021.05.20 по теме Landing Zones:

https://www.youtube.com/watch?v=pPugrJrhlSE

4:00 Why do you need a "Landing Zone"?
27:30 «Superwerker — open-source jump-start to a well-architected AWS setup»
58:00 «Managing your AWS Organization with org-formation»
1:32:20 «From ALZ to Control Tower: building a managed landing zone service at AWS»
2:07:00 «A hitchhikers guide to landing zones, using undocumented APIs»

Для тех, кто сильно связан с #multi_account_strategy этот митап суть просто концентрированный набор лучших (и разных) подходов к тому, чтобы управляться с мульти-аккаунтами.

Отмечу доклад про Superwerker, которым пользуюсь сам и рекомендую тем, кто лишь будет настраивать себе мульти-аккаунтную среду. Это очень перспективный проект, который вполне может стать базовым для установки в новые проекты.

Также отдельно стоит выделить доклад про Control Tower (плюс там много про Service Catalog) от Matt Yanhyshyn из AWS (General Manager of AWS Control Services). Качественный материал от первоисточника во всех смыслах, с инсайдом по фичам Control Tower в роадмэпе (например, поддержка Nested OU).

Реально круто, хотя, предположу, что не всем понятно. Всё равно, рекомендую. 😀

#Control_Tower

Рекомендации по мульти-аккаунт стратегии от первоисточника:

https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/benefits-of-using-multiple-aws-accounts.html

Целый раздел документации по лучшим практикам в организации #Organizations организации. 😄

Как-то давно писал про варианты разбиения (плюс видео), вот, наконец, они в официальной версии, что очень хорошо и рекомендуется к изучению.

#multi_account_strategy

Серьёзные подвижки для работы в мульти-аккаунт окружении — возможность программно изменять почту для billing/operations/security в под-аккаунтах:

https://aws.amazon.com/blogs/mt/programmatically-managing-alternate-contacts-on-member-accounts-with-aws-organizations/

По умолчанию все сообщения по поводу AWS аккаунта — биллинг, проблемы безопасности (например, вас поломали и/или ваши виртуалки рассылают спам) — шлются на почту root-юзера. Однако можно задать альтернативные контакты - отдельные почты для billing/operations/security.

При программном создании под-аккаунтов эти поля не заполняются и чтобы получать данные сообщения раньше нужно было вручную изменять, для чего требовалось заполнять и другие поля root-юзера (в первую очередь - восстановить к нему пароль), что практически невозможно было автоматизировать и всегда было огромной проблемой.

Теперь же можно запустить баш-скрипт (в AWS огромное Bash-лобби 😁) из статьи и назначить всем подаккаунтам нужные почты (или одну на всех). Что реально круто. Обязательно воспользуйтесь!

#Organizations #security #multi_account_strategy

​​BLEA (Baseline Environment on AWS) или японский мульти-аккаунт:

https://github.com/aws-samples/baseline-environment-on-aws

Полностью разворачивается с помощью AWS CDK, одинаково работает и с Single Account и в Multi Account среде. То есть ставится и на просто один аккаунт, и на Organizations, и на Organizations с Control Tower.

Выглядит очень круто. Гугло-перевод статьи про BLEA из японского AWS блога:

https://aws-amazon-com.translate.goog/jp/blogs/news/announcing-baseline-environment-on-aws/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=be&_x_tr_pto=nui

Картинки и набор сервисов впечатляют, особенно с учётом того, что благодаря использованию CDK, функционал может расширяться очень быстро.

Однозначно стоит ознакомиться поближе и наверняка увидим подробности на re:Invent.

#CDK #multi_account_strategy #single_account_strategy #security

Leapp — утилита для переключения в мультиаккаунтной среде в один клик:

https://github.com/Noovolari/leapp

Утилита не новая, но в последней версии 0.7.4 добавилась поддержка AWS SSO, выглядит привлекательно, а потому стоит ознакомиться и попробовать.

Кроме AWS также работает с Azure.

#IAM #SSO #multi_account_strategy

​​AWS SSO переименовали в AWS IAM Identity Center, теперь это часть IAM сервиса.

https://aws.amazon.com/iam/identity-center/

IAM Identity Center helps you securely create, or connect, your workforce identities and manage their access centrally across AWS accounts and applications. IAM Identity Center is the recommended approach for workforce authentication and authorization in AWS, for organizations of any size and type. 

Демо-видео:

https://www.youtube.com/watch?v=4yJp5-jGGNk

AWS SSO стал реально крутым и обязательным для использования сервисом, реализующим правильный подход к безопасности и получивший достаточный набор функционала, ранее присутстсвующий лишь в платных решениях.

Теперь же его инкарнация в виде IAM Identity Center предполагает в том числе продвижение #multi_account_strategy, становясь главным инструментом для входа через user portal.

p.s. Передаю пламенный привет создателям и студентам курсов по AWS сертификации - кому-то переделывать, а кому-то переучивать. 😁

#SSO #IAM

Как посчитать все ресурсы в AWS Organizations и найти проблемные или multi-account strategy в действии:

https://aws.amazon.com/blogs/mt/identify-aws-resources-at-risk-across-your-multi-account-environment-with-aws-organizations-integrations/

#Organizations #multi_account_strategy