我试图找出如何处理S3(没有经过我组织的任何培训 - 是的,这很糟糕,但那就是我所在的地方:()而且对于我和我的选择有点不知所措#39;我试图这样做。
我想在我的大型组织(约100,000名员工)中向数百个内部客户群(即客户)提供简单的归档存储服务(最好只使用AWS web gui)......我的问题归结为如何如何构建存储桶和密钥以便:
a)我没有达到100桶限制(我知道我可以要求更多,但是AWS会让我根据要求增加这个数量500)吗?
b)我可以为每个客户提供多个可识别个人的用户,这些用户只能控制该客户的数据,只能为他们的客户提供/获取数据。
c)我可以向每个客户收取使用费用,最好是使用AWS可以提供的任何自动报告...或者我是否需要使用API编写脚本?
我要去买几百桶吗?每个客户一个文件夹的一个桶?
如果有一个存储桶,我可以请一些指示,告诉我如何让不同的用户访问一个存储桶中的不同文件夹。一直在看团体,角色,政策等,让我的头脑扭曲,不知道我的意思是走哪条路......
是否有一些更好的文档,例如可以提供比AWS的在线帮助更好的文档的书?
...谢谢
答案 0 :(得分:2)
未经我的组织培训
您的组织足够大,您应该能够与AWS架构师(适用于AWS)获得时间 - 他们真的了解他们的内容,并可以对此类问题给出明确的答案。
我想提供一个简单的归档存储服务
行。您也想要考虑生命周期策略,冰川,不常访问和减少冗余。
(最好只使用AWS web gui)
嗯,AWS GUI并不是最好的。我确信有更好的方法。 (例如FireFox / Chrome扩展程序等)。您还需要成为S3同步程序的专家。他们中的许多人没有规模。 (提示 - 不要使用s3fs类型的程序,它们很难调试。)
到数百个内部客户群
我可以想到3种方式:
1)每个部门一个帐户,一个(或多个)IAM用户(可能通过用户安全集成)。每个部门一个目录。您可以在IAM用户上设置权限,以便他们只能查看'单个存储桶中的单个目录中的文件。最大的缺点是你从AWS获得一张账单,而且没有简单的方法可以知道谁做了什么。
2)每个部门一个桶。如果AWS无法提高限额,您可能需要N / 100个帐户(不确定,只要问他们。他们不会咬人。)。每个IAM用户可以仅限于他们的存储桶。您可以在帐户之间为管理员用户创建信任,以便您可以轻松管理它。如果您标记您的存储桶,则可以获得每个标记的帐单。
3)许多帐户 - 每个部门一个帐户。他们可以管理自己的IAM用户。每个部门都可以创建许多桶。您可以在一个中央帐户之间设置信任,以便您可以使用一个IAM用户管理所有内容。他们每人都从AWS获得自己的账单。
坦率地说,如果你想要准确计费,#1有点棘手。 #2将需要您的额外工作,但可以使其工作。 #3是最干净的。
我确实担心您定义的结构是"而不是最好的#34;。部门会争论谁存储了什么("我发给你那个报告,然后我删了它!"),而不是全局优化。 ("让我们存储1份报告。")。在小型组织中,#1是最好的。在大型企业中,我认为#3是最好的,你只是一名内部顾问,帮助各部门直接支付AWS。
如果有一个存储桶,我可以请一些指示,告诉我如何让不同的用户访问一个存储桶中的不同文件夹。
这很容易。 just create a policy that restricts them to one folder in a bucket.
您希望为每个部门创建一个组,因为为每个用户制定规则是不好的。始终将用户置于组中,并仅对组授予权限。
是否有更好的文档
S3相当复杂,但文档非常好。你只需要端到端地阅读它。坦率地说,如果您的公司有10,000名员工,他们应该为您支付很多的AWS架构师培训费用。能够提供帮助的合格顾问非常昂贵,而且很难说谁有能力。