Ух ты, случилось чудо, теперь можно поменять root user почту подаккаунтов:

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_update_primary_email.html

Это значит, что все случайно созданные аккаунты на несуществующую почту теперь можно поправить без техподдержки. Ура!

#Organizations

Student SCP policy — политика для защиты аккаунтов, предназначенных для изучения AWS.

Покрыты все нужные сервисы, запрещены неадекватные действия по биллингу, запрещены действия, которые могут иметь долгосрочный и неотвратимый характер.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "StudentSCPpolicy",
      "Effect": "Deny",
      "Action": [
        "athena:CreateCapacityReservation",
        "aws-marketplace:AcceptAgreementRequest",
        "aws-marketplace:CreateAgreementRequest",
        "aws-marketplace:CreatePrivateMarketplaceRequests",
        "aws-marketplace:Subscribe",
        "backup:CreateLogicallyAirGappedBackupVault",
        "backup:PutBackupVaultLockConfiguration",
        "bedrock:CreateFoundationModelAgreement",
        "bedrock:CreateProvisionedModelThroughput",
        "cloudfront:CreateSavingsPlan",
        "devicefarm:PurchaseOffering",
        "directconnect:ConfirmCustomerAgreement",
        "dynamodb:PurchaseReservedCapacityOfferings",
        "ec2:AcceptReservedInstancesExchangeQuote",
        "ec2:CreateCapacityReservation",
        "ec2:CreateCapacityReservationFleet",
        "ec2:CreateReservedInstancesListing",
        "ec2:LockSnapshot",
        "ec2:PurchaseCapacityBlock",
        "ec2:PurchaseHostReservation",
        "ec2:PurchaseReservedInstancesOffering",
        "ec2:PurchaseScheduledInstances",
        "eks:CreateEksAnywhereSubscription",
        "elasticache:PurchaseReservedCacheNodesOffering",
        "elemental-appliances-software:CreateOrderV1",
        "elemental-appliances-software:SubmitOrderV1",
        "es:PurchaseReservedElasticsearchInstanceOffering",
        "es:PurchaseReservedInstanceOffering",
        "freertos:CreateSubscription",
        "glacier:CompleteVaultLock",
        "glacier:PurchaseProvisionedCapacity",
        "groundstation:ReserveContact",
        "iottwinmaker:UpdatePricingPlan",
        "iq:ApprovePaymentRequest",
        "mediaconnect:PurchaseOffering",
        "medialive:PurchaseOffering",
        "memorydb:PurchaseReservedNodesOffering",
        "organizations:LeaveOrganization",
        "organizations:DeleteOrganization",
        "organizations:RemoveAccountFromOrganization",
        "outposts:CreateOrder",
        "panorama:ProvisionDevice",
        "quicksight:Subscribe",
        "quicksight:UpdateSPICECapacityConfiguration",
        "rbin:LockRule",
        "rds:PurchaseReservedDBInstancesOffering",
        "redshift:AcceptReservedNodeExchange",
        "redshift:PurchaseReservedNodeOffering",
        "route53domains:AcceptDomainTransferFromAnotherAwsAccount",
        "route53domains:RegisterDomain",
        "route53domains:RenewDomain",
        "route53domains:TransferDomain",
        "route53domains:TransferDomainToAnotherAwsAccount",
        "s3:PutBucketObjectLockConfiguration",
        "s3:PutObjectLegalHold",
        "s3:PutObjectRetention",
        "s3-object-lambda:PutObjectLegalHold",
        "s3-object-lambda:PutObjectRetention",
        "savingsplans:CreateSavingsPlan",
        "shield:CreateSubscription",
        "snowball:CreateJob",
        "snowball:CreateLongTermPricing"
      ],
      "Resource": "*"
    }
  ]
}

Student SCP policy не имеет ограничений на адекватные действия и создание любых ресурсов, что могут потребоваться для изучения. Поэтому предполагается обязательная настройка AWS Budgets и алертов.

Если требуется более жёсткие ограничений, то нужно использовать Allow List Approach — вместо запрещения проблемных лишь разрешать нужные.

#security #organizations #scp

Как перенести AWS аккаунт из одной AWS Organization в другую.

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_account_migration.html

#Organizations

Resource control policies — RCPs

https://aws.amazon.com/blogs/aws/introducing-resource-control-policies-rcps-a-new-authorization-policy/

Как SCP, но для ресурсов.

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html

Действует на уровне AWS Organizations. Перекрывает IAM права, как и SCP. В результате с помощью RCP можно просто запретить доступ к S3 бакетам извне организации.

RCP vs SCP — SCP для ролей, RCP для ресурсов, в чём-то перекрывают друг друга, RCP важное дополнение SCP.

На текущий момент поддерживает лишь следующие ресурсы:

• S3
• STS
• KMS
• SQS
• Secrets Manager

⚠️ Как и SCP, RCP не применяется к Management (главному, root) аккаунту.

#RCP #Organizations

Root access management

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html

С помощью Root access management можно централизованно на уровне всей организации выключить root-пользователей оптом сразу во всех под-аккаунтах.

Чтобы выполнить действия, требующие именно root-юзера, например, снятие неудачно применённой S3 bucket policy, то используем perform a privileged task. Когда можно переключиться из главного аккаунта в под-аккаунт в специальную "short-term" root-сессию.

Таким образом у вас (у нас) появляется официальная возможность послать всех безопасников с их проверками на root-пользователей нафиг упростить механизмы соответствия compliance требованиям.

P.S. Кто не может найти у себя такую картинку — это доступно только в главном (management) аккаунте или аккаунте delegated administrator for IAM.

#IAM #Organizations #root

AWS Organizations: Как управлять сотнями аккаунтов без головной боли

https://www.youtube.com/watch?v=7bBHGCG0Dys

#organizations

Специально для счастливых обладателей нового Free Tier (заведённого после July 15, 2025):

НЕ следуйте рекомендациям в AWS Console по включению AWS Organizations для создания IAM Identity Center! Иначе ваш план автоматически будет проапгрейжен на платную версию (Paid plan).

Для включения IAM Identity Center используйте его отдельный инстанс в аккаунте. Для этого выбирайте вторую опцию мелким текстом.

P.S. Кто пропустил — можно создавать IAM Identity Center в отдельных аккаунтах кроме одного общего на AWS Organization:

https://docs.aws.amazon.com/singlesignon/latest/userguide/identity-center-instances.html

#FreeTier #organizations #IAM

Multi-party approval — когда нужно реализовать подтверждение на операцию в AWS от нескольких человек:

https://docs.aws.amazon.com/mpa/latest/userguide/

#security #organizations

Транфер аккаунта из одной AWS Organization в другую напрямую 🎉

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html

AWS Organizations sends an invitation to the account owner, who can decide to accept or decline the invitation.
If you are the administrator of an AWS account, you also can accept or decline an invitation from an organization. If you accept, your account becomes a member of that organization.

Теперь не нужно больше приседаний с выводом аккаунта из организации и приёмом как отдельностоящего.

#Organizations

AWS Billing Transfer — централизованный биллинг для многих AWS Organizations 🎉

https://aws.amazon.com/blogs/aws/new-aws-billing-transfer-for-centrally-managing-aws-billing-and-costs-across-multiple-organizations/

В общем, мульти-аккаунты в прошлом, теперь можно делать мульти-организации!

#Organizations