我想了解为什么AWS Organizations有帮助以及为什么推荐它的原因。
目前,我和我的团队有三个不同的帐户来构建应用程序:prod,dev和qa。当我们在其中一个帐户中构建新应用程序时,我们必须首先执行一系列CloudFormation模板-其中一个包含新应用程序所需的IAM策略/角色。
您可以想象,我们最终将在每个帐户中定义完全相同的策略和角色。我们请勿出于安全目的希望拥有跨帐户角色/策略。
现在我的问题是,是否可以利用AWS组织来定义每个帐户都可以使用的1个集中化策略,即该策略的模板在那里,但允许将本地副本存储在每个帐户中。这样做的好处是,我们可以对保单进行1次更改,并将其复制到我们选择的帐户中。 Prod可能仍然不是该策略的版本1,而dev可能是版本2。
如果这不是AWS Organizations的预期功能,那么有人可以提供给我一个使AWS Organizations受益的用例吗?
答案 0 :(得分:2)
AWS Organizations不允许您在组织级别上设置要使用的子AWS账户的IAM策略。它允许您在组织级别设置服务控制策略(SCP)。 SCP规定了一个子AWS账户可以使用哪些AWS服务/操作(SCP是子账户中IAM策略的过滤器,允许SCP覆盖任何/所有子级权限)。
另请参阅AWS Organizations的更广泛的功能。