Zarządzanie użytkownikami, kontami na AWS – ten lepszy sposób

aws - manage users

Jak zaczynałem z AWS to nie mogłem się na początku połapać jak to jest z tymi użytkownikami i kontami. Taka prosta rzecz, jak zarządzanie kontami i użytkownikami w AWS była naprawdę skomplikowana.

W AWS możemy tworzyć różne konta i nimi zarządzać na kilka sposobów. Oczywiście nie powinniśmy zarządzać portalem za pomocą konta roota. Kolejnym kiepskim pomysłem jest przyłączanie swoich prywatnych kont do organizacji.

AWS Organizations Accounts

Jak już jesteśmy przy organizacji, to dodając na tym poziomie konta możemy uzyskać pełną izolację między środowiskami/projektami. Tworząc konta na tym poziomie nie będą to konta użytkowników, tylko konta na których możemy mieć w pełni izolowane środowisko/projekt. Jedno konto możemy traktować jako środowisko produkcyjne inne jako testowe, albo developerskie itd. Jeśli mamy w firmie projekty które powinny być odizolowane od siebie to jest to dobre miejsce by dla każdego z takich projektów utworzyć osobne konto.

aws organization account

Gdy mamy dużo kont w organizacji to możemy tworzyć strukturę organizacji. W poniższym przykładzie mamy 3 ‘organization units‘ test, dev i prod do których możemy dodawać utworzone przez nas konta. Pozwoli to na łatwiejsze zarządzanie naszymi środowiskami. Każda jednostka organizacyjna może mieć przypisane przez nas zasady które będą dziedziczone. Oznacza to tyle że jeśli mamy np. określone zasady dla środowiska testowego to nie musimy ich przypisywać po kolei na każdym środowisku. Wystarczy zrobić to raz na jednostce organizacyjnej, a wszystkie konta automatycznie je otrzymają.

aws account- switch role

Konta Użytkowników

No dobrze zapytacie, ale co z tymi kontami użytkowników i ich zarządzaniem na AWS? Otóż konta użytkowników dodaje się w innym miejscu. A raczej w innych miejscach 🙂

Identity and Access Management (IAM)

aws Identity and Access Management (IAM)

Identity and Access Management (IAM), to jednio z miejsc w których można dodawać konta użytkowników. W dokumentacji znalazłem informację, by konta dla użytkowników zakładać przez IAM i tam nimi zarządzać. Powiedzmy że jest to jakiś sposób, ale nie jest zbyt dobry. Sprawdza się jeśli mamy tylko jedno środowisko i trzymamy wszystko z w jednym miejscu.

Jeśli mamy więcej środowisk(kont dodanych na poziomie organizacji) to w takim przypadku wyjścia są 2 . W każdym środowisku tworzymy od nowa userów przez IAM, albo w jednym środowisku tworzymy userów a w innych tworzymy dla nich role.

AWS Switch Roles

AWS ma nawet specjalną funkcję “Switch Roles” która pozwala na szybkie przełączanie się pomiędzy środowiskami/projektami.

aws account switch role

Wyjaśniając dokładniej, w jednym środowisku tworzymy użytkowników IAM, w pozostałych tworzymy tylko role. Rola zawiera uprawnienia jakie posiada użytkownik na określonym środowisku. Jeśli użytkownicy mają różne uprawnienia to musimy stworzyć różne role. Gdy mamy utworzone role, to po kliknięciu na switch role podajemy id konta do którego chcemy się przełączyć i nazwę roli jaką utworzyliśmy na wybranym koncie. Dla przejrzystości możemy wybrać różne kolory dla różnych środowisk.

konta AWS - switch role

Prawda że proste? No właśnie że nie jest zbyt proste, a do tego jeszcze trochę upierdliwe. Dlatego jest inny drugi ten lepszy sposób zarządzania użytkownikami.

AWS Single Sign-On (SSO)

AWS Single Sign-On (SSO)

AWS Single Sign-On (SSO) to jest ten drugi, lepszy sposób. Tutaj w prosty sposób dodajemy użytkowników, grupy i mamy możliwość zarządzania nimi na poziomie całej organizacji. Możemy przypisywać użytkownikom lub grupą uprawnienia w poszczególnych środowiskach(kontach organizacji). Użytkownicy nie znajdują się na określonym koncie tylko są tworzeni na poziomie organizacji. Dodając nowego usera mamy także więcej opcji do wyboru.

sso add user

Gdy utworzymy naszych użytkowników to nie logują się już oni przez panel który do tej pory służył do logowania. Teraz użytkownicy logują się przez user portal, którego adres można bardzo ładnie spersonalizować.

sso - user portal

Sam portal do logowania będzie wyglądał też troszkę inaczej:

sso user portal

Oczywiście zamiast tworzyć użytkowników możemy używać tych którzy istnieją i to np w naszym lokalnym Active Directory, ale nie tylko. Połączenie chmury i środowiska lokalnego niesie wiele korzyści i niestety sporo zagrożeń, ale to już temat na osobny artykuł. Miło mi że wytrwaliście do końca:)

sso aws connect to AD

Więcej informacji na temat AWS Single Sign-On znajdziesz w dokumentacji AWS pod linkiem https://docs.aws.amazon.com/singlesignon/index.html

Jeśli podobał ci się artykuł “Zarządzanie użytkownikami, kontami na AWS – ten lepszy sposób” to było by mi bardzo miło, gdybyś zostawił/zostawiła jakiś komentarz.

Więcej artykułów na temat AWS znajdziesz w kategorii AWS.

2 myśli na “Zarządzanie użytkownikami, kontami na AWS – ten lepszy sposób”

  1. A ja się męczyłem z rolami przełączaniem itd a to może być takie proste. Mega dzięki za ten wpis. Od dziś regularnie czytam twój blog.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *