Khuyến nghị nên tổ chức khối lượng công việc (workloads) vào các tài khoản AWS riêng biệt, thay vì chia theo cấu trúc tổ chức hoặc phòng ban. Cách phân tách hiệu quả nhất là dựa vào:
Lý do: Trong AWS, tài khoản là ranh giới cách ly cứng, giúp hạn chế rủi ro lan rộng. Ví dụ, bạn nên sử dụng tài khoản riêng để cách ly môi trường sản xuất (production) khỏi môi trường phát triển (development) và kiểm thử (test) nhằm đảm bảo an toàn và ổn định.
AWS Organizations là công cụ giúp bạn tự động hóa việc tạo, quản lý và điều phối tài khoản AWS trong một tổ chức lớn.
Khi tạo tài khoản mới qua Organizations, hãy cẩn trọng với địa chỉ email sử dụng, vì đó là tài khoản root và sẽ được dùng để khôi phục mật khẩu nếu cần.
Organizations cũng cho phép bạn nhóm các tài khoản lại với nhau theo mục đích sử dụng thông qua Organizational Units (OU).
Ví dụ: bạn có thể nhóm các tài khoản thuộc môi trường sản xuất vào một OU, và các tài khoản phát triển vào OU khác để áp dụng chính sách phù hợp.
Bạn có thể giới hạn hành vi của tài khoản AWS bằng cách sử dụng Service Control Policies (SCP) – chính sách được áp dụng ở cấp tổ chức, OU hoặc tài khoản cụ thể.
SCP cho phép bạn:
Ví dụ, bạn có thể tạo một SCP ngăn người dùng tạo tài nguyên ở ngoài khu vực Vùng châu Á Thái Bình Dương nếu tổ chức chỉ muốn sử dụng dịch vụ tại khu vực đó.
AWS Control Tower là công cụ hỗ trợ đơn giản hóa toàn bộ quá trình thiết lập này. Nó giúp bạn:
Với AWS Organizations, bạn có thể áp dụng cấu hình dịch vụ AWS cho toàn bộ hệ thống tài khoản trong tổ chức.
Một số ví dụ thực tế:
Bạn nên tách các tài khoản quản trị bảo mật ra khỏi tài khoản thanh toán hoặc tài khoản điều hành chung.
Một số dịch vụ như:
SEC01-BP01 Phân chia khối lượng công việc bằng tài khoản SEC01-BP02 Tài khoản người dùng gốc an toàn và các thuộc tính