Наличие нескольких учетных записей AWS или любого публичного облака имеет свои плюсы и минусы.
Когда дело доходит до учетных записей облачных вычислений, чем больше, тем лучше — по крайней мере, иногда. В других случаях имеет смысл использовать только одну или несколько учетных записей.
Чтобы объяснить, как выбрать правильное количество учетных записей для облачной среды, давайте рассмотрим, как работают учетные записи, плюсы и минусы нескольких учетных записей и почему может иметь или не иметь смысл применять стратегию с несколькими учетными записями.
Мы сосредоточимся конкретно на Amazon Web Services, который остается наиболее широко используемым общедоступным облаком . Однако приведенные ниже рекомендации в целом применимы к любому облаку (хотя, как мы объясняем, важно понимать, что облачные учетные записи в разных облаках работают несколько по-разному).
Что такое учетная запись AWS?
Учетная запись AWS — это виртуальное удостоверение, которое AWS назначает клиентам, предоставляя им право создавать ресурсы AWS и управлять ими. Или, как определяет это AWS, учетная запись — это «контейнер для всех ресурсов AWS, которые вы создаете как клиент AWS».
AWS использует в этом контексте термин «контейнер», означающий, что учетные записи представляют собой автономные идентификаторы. Ресурсы, управляемые одной учетной записью, не могут контролироваться или просматриваться другими учетными записями. В этом отношении учетная запись создает виртуальную границу, изолирующую ваши облачные ресурсы.
Учетные записи, пользователи и организационные подразделения
Важно отметить, что учетная запись в AWS отличается от других типов удостоверений, которые вы можете определить. В частности, учетная запись отличается от:
- Пользователи : Пользователь — это личность, которую вы можете назначить конкретному человеку. Вы настраиваете пользователей в AWS с помощью платформы AWS Identity and Access Management (IAM). Несколько пользователей могут использовать одну и ту же учетную запись, хотя вы также можете создать отдельные учетные записи для каждого пользователя, если хотите.
- Организационные подразделения . Организационная единица или подразделение представляет собой группу учетных записей AWS. Вы можете определить политики на уровне подразделения, которые будут применяться ко всем учетным записям, управляемым через это подразделение. Обычно одна компания создает только одно подразделение, хотя при желании можно создать несколько подразделений для вашей компании.
Один или несколько аккаунтов AWS: как выбрать
Если ваша компания использует AWS, вы можете создать только одну учетную запись, доступную всем пользователям в вашей организации. Или вы можете настроить несколько учетных записей — подход, известный как стратегия нескольких учетных записей (не путать со стратегией нескольких облаков , которая означает нечто иное).
AWS оставляет на усмотрение клиентов решать, сколько учетных записей создавать; нет никаких правил, требующих от вас создания определенного количества учетных записей, независимо от масштаба вашей работы или типов облачных сервисов, которые вы используете. (По умолчанию AWS накладывает ограничение на общее количество пользователей в 5000 на одну учетную запись, хотя вы можете запросить дополнительных пользователей под одной учетной записью, если каким-то образом обнаружите, что у вас более 5000 пользователей, которые хотят использовать одну учетную запись.)
Итак, как же выбрать? Простого ответа не существует, но рассмотрим следующие распространенные сценарии определения количества используемых учетных записей AWS:
- Одна учетная запись для каждой компании . Если ваши потребности в облаке относительно небольшие (например, если вы развертываете всего несколько приложений или у вас небольшое количество инженеров, которым необходим доступ к облаку), проще всего настроить только одну общую учетную запись. всеми в вашем бизнесе. Этот подход также гарантирует, что каждый сможет легко совместно использовать облачные ресурсы; например, если один пользователь хочет помочь в управлении приложением, развернутым другим пользователем, он может легко сделать это с помощью настройки одной учетной записи (при условии наличия правильных разрешений IAM).
- Одна учетная запись на отдел или команду . Если у вас есть несколько отделов или групп пользователей, использующих вашу облачную платформу, часто имеет смысл создать отдельную учетную запись для каждого из них. Пользователи одной команды обычно работают в одной среде, но у них часто нет причин управлять ресурсами, принадлежащими другим командам.
- Одна учетная запись для каждой рабочей нагрузки . Для рабочих нагрузок, требующих строгой изоляции от других рабочих нагрузок, вы можете настроить отдельные учетные записи. Однако обратите внимание, что с помощью политик IAM также можно установить довольно строгие границы между рабочими нагрузками, поэтому вам не обязательно использовать несколько учетных записей, если изоляция рабочих нагрузок является приоритетом.
- Одна учетная запись для каждого типа среды . Некоторые компании создают отдельные учетные записи для разных типов сред — например, одну для разработки/тестирования и одну для производства.
- Одна учетная запись на пользователя . Если каждый пользователь в вашей организации делает что-то уникальное в облаке и ему редко или никогда не требуется взаимодействовать с облачными ресурсами, управляемыми другими пользователями, имеет смысл настроить отдельную учетную запись для каждого пользователя. Однако такой подход встречается относительно редко.
Суть в том, что не существует жестких правил относительно того, сколько учетных записей AWS нужно настроить. Чтобы сделать правильный выбор, вам придется учитывать потребности и приоритеты вашего бизнеса, команд и пользователей.
Несколько подразделений в AWS
Кстати, стоит отметить, что (как упоминалось выше) при желании можно создать более одного организационного подразделения в AWS, а затем управлять одной или несколькими учетными записями в каждом подразделении. Это редкая практика, поскольку учетные записи достаточно детализированы, поэтому вы можете устанавливать разные правила и политики для разных учетных записей в одном подразделении, поэтому с функциональной точки зрения нет веской причины настраивать более одного подразделения. Вы также можете управлять счетами для нескольких учетных записей через центральную организацию AWS.
Однако для очень крупных предприятий, включающих отдельные подразделения, иногда имеет смысл иметь более одного подразделения. Например, если ваша компания прошла через слияние или поглощение, она может сохранить отдельные подразделения, по одному для каждой из первоначальных организаций, сформировавших новое предприятие.
Несколько учетных записей в облаках, отличных от AWS
Та же логика, изложенная выше в отношении разделения (или не разделения) групп пользователей или команд на уровне учетной записи, применима и к другим общедоступным облакам. Однако, поскольку организационные иерархии и терминология, используемые в других облаках, немного отличаются, вам придется немного скорректировать стратегию управления учетными записями, если вы работаете за пределами AWS.
Например, в Azure « подписка » более или менее эквивалентна учетной записи AWS (есть некоторые нюансы между учетными записями AWS и подписками Azure, которые выходят за рамки этой статьи). А в Google Cloud Platform (GCP) термин «служебная учетная запись» относится к учетным записям, созданным для пользователей компьютеров, что отличается от учетных записей AWS.
Вам необходимо убедиться, что вы понимаете концепции и термины, которые ваш облачный провайдер использует для управления учетными записями, прежде чем принимать решения о том, сколько учетных записей использовать.
Заключение
Наличие нескольких учетных записей в AWS или любом публичном облаке имеет свои плюсы и минусы. Несколько учетных записей могут обеспечить более жесткую изоляцию между командами и рабочими нагрузками, но они также усложняют работу и в некоторых случаях затрудняют совместное использование ресурсов.