Organisations, SCP

Question 1

Что такое Organisation Unit?
Что он может содержать?
Какие виды аккаунтов в организации бывают?

Вложенные Organisational Units могут соответствовать …

Answer 1

Root Organisational Unit (OU) - это главная единица AWS Организации,
которая может содержать
- AWS аккаунт(ы) (называемый(ые) Management Account или Member Accounts)
- и (возможно) вложенные обычные Organisational Units

вложенные OU могут соответствовать отделам организации (HR, Operations, Finances) или окружению (Dev, Prod)

Question 2

Как перевести аккаунт из одной организации в другую?
Как НЕЛЬЗЯ это делать? Почему?

Answer 2

1. Удалить аккаунт из Org 1
2. Отправить приглашение на вступление в Организацию из Org 2
3. Принять приглашение в аккаунте на вступление в Org 2

ℹ️ НЕЛЬЗЯ приглашать аккаунт вступить в организацию,
пока этот аккаунт входит в другую организацию.
Потому что тогда аккаунт может принять приглашение и будет входить в ДВЕ организации ОДНОВРЕМЕННО (а это НЕдопустимо)

Question 3

IAM Role OrganisationAccountAccessRole
В каком аккаунте организации она должна быть?
Какой доступ она имеет?
Когда она должна быть создана?
Кто будет ей пользоваться и какие действия выполнять?
Она создаётся автоматически или вручную?

Answer 3

• Когда Management Account создаёт новый Member Account, то в подчинённом аккаунте АВТОМАТИЧЕСКИ создаётся
  IAM Role, называемая OrganisationAccountAccessRole
• Эта роль содержит Full Administrator Access ко всем ресурсам в подчинённом аккаунте
• Эту роль будет assume’ать Management Account, чтобы управлять подчинённым аккаунтом (создавать в нём IAM user’ов и прочее)
• Такая роль создаётся АВТОМАТИЧЕСКИ для всех новых аккаунтов в организации.
• Но если существующий аккаунт был добавлен в AWS организацию, то такую роль нужно создать САМОСТОЯТЕЛЬНО

Question 4

Consolidated Billing
Что это?
Какие аккаунты и как он затрагивает?
В чём удобство и выгода?
Какие есть альтернативы этой фиче?

Answer 4

Consolidated Billing - это фича AWS Организаций, которая позволяет
- агрегировать billing всех аккаунтов организации
- иметь единый метод оплаты в Management Account’е

ℹ️ Это НЕ просто удобно, но и выгодно ($$$)
Consolidated Billing даёт дискаунт (скидку) на оплату EBS volumes, S3, Shield Advanced, etc

Cost Allocation Tags (в одном AWS аккаунте) - это подход, альтернативный созданию AWS Организации и Consolidated Billing’у

Question 5

All Features
Что это за фича? Как она связана с Consolidated Billing?

Почему AWS аккаунт, который вступает в AWS организацию, должен approve’нуть фичу All Features?

Как вернуться с All Features на Consolidated Billing?

Answer 5

Фича All Features включает в себя
- Consolidated Billing
- Service Control Policies (SCP)

потому что All Features включает в себя SCP,
которая ЗАПРЕЩАЕТ аккаунту ВЫХОДИТЬ из организации

НЕЛЬЗЯ откатиться с All Features обратно к Consolidated Billing

Question 6

Discount Sharing включен/выключен
Для каких аккаунтов можно активировать эту фичу?
Как она связана с Consolidated Billing?
Как она связана с Saving Plans, Reserved Instances?

Что такое “cost oversight”? Какую фичу он подразумевает?

Answer 6

Фича Consolidated Billing относится ко всем аккаунтам организации,
как к единому аккаунту (с точки зрения выставления счёта).

То есть ВСЕ аккаунты организации получают выгоду от экономии на Reserved Instances и Savings Plans тарифах.

Но Management Account (его также зовут Payer Account)
может исключить определённые аккаунты (включая самого себя)
из этой группы “выгодо-получателей от Reserved Instances и Saving Plans”

cost oversight - это контроль расходов (подразумевает фичу Consolidated Billing)

Question 7

SCP - это набор …, который накладывается на … или на целый …
Например можно запретить …
Напоминает …

Answer 7

Service Control Policies (SCP) - набор allow/deny действий,
который накладывается на AWS аккаунт в организации (или на целый OU).

Можно запретить использовать некоторые конкретные сервисы для соблюдения compliance

SCP - это по сути Permission Boundary, которая накладывается на целый аккаунт в организации.

Question 8

Можно или нельзя применить SCP на:
- Service-linked Roles в AWS аккаунте
- Management Account в организации (почему?)
- Organisation Unit (OU) в организации
- отдельных Users / Roles в AWS аккаунте
- обычный AWS Account в организации

Answer 8

• ❌ Service-linked Roles в AWS аккаунте (на отдельные Роли нельзя)
• ❌ Management Account в организации (чтобы избежать “самоблокировки”)
• ✅ Organisation Unit (OU) в организации
• ❌ отдельных Users / Roles в AWS аккаунте
• ✅ обычный AWS Account в организации

Question 9

Чтобы SCP применились,
то … должен ЯВНО разрешить
эту SCP по отношению к конкретному Target Account’у

Answer 9

Root User каждого Organisation Unit’а

Question 10

Принцип работы SCP похож на принцип работы CloudFormation Stack Policy?
Что такое SCP Strategies “Blocklist” или “Allowlist”?

Answer 10

Чтобы накладывать ограничения на аккаунт/OU через SCP, то нужно включить в SCP
- сначала FullAWSAccess
- потом добавить, что запрещено через Deny

Можно создать SCP без FullAWSAccess
Например SCP, которая состоит только из Allow EC2
Тогда аккаунту будет ЗАПРЕЩЕНО ВСЁ, кроме EC2