Учтите, что я новичок в администрировании AWS.
У меня есть полный доступ к учетной записи AWS моей организации. Один из наших веб-сайтов (разработанный на Drupal) разработан поставщиком, который размещает его в своей учетной записи AWS (dev / prod env.). У них есть основная учетная запись и отдельные учетные записи для каждого клиента.
Моя организация хочет перенести всю инфраструктуру в нашу собственную среду AWS, что кажется отличной идеей. Тем временем я нашел организации AWS и знаю, что могу пригласить поставщика присоединиться к нашей организации, а затем мы сможем ограничить их доступ (только доступ для разработки) и самостоятельно управлять веб-сайтом и соответствующей инфраструктурой. Но это означает, что мы будем контролировать их корневую учетную запись, чего не произойдет, поскольку у них есть и другие учетные записи клиентов.
В этом случае, пожалуйста, предложите лучший способ получить полный доступ и контроль только для нашей учетной записи?
Для ясности я буду ссылаться на конкретную учетную запись AWS, которую поставщик имеет для ваших ресурсов AWS, в качестве учетной записи клиента.
У вас есть два варианта:
Попросите поставщика передать в вашу организацию AWS только ваш клиентский аккаунт.
Используйте роль кросс-аккаунта IAM, чтобы взять на себя роль в своей клиентской учетной записи.
Любой из этих вариантов можно настроить, чтобы позволить вам управлять ресурсами AWS, которые поставщик имеет в вашей учетной записи клиента.
Опция 1: Если вашей компании следует оплатить счет AWS для вашей клиентской учетной записи, то перенос учетной записи из организации AWS поставщика в вашу организацию AWS, скорее всего, будет лучшим выбором. Поставщику не нужно делать свою главную учетную запись AWS частью вашей организации, нужно только отсоединить конкретную учетную запись клиента от своей организации AWS, а затем принять запрос на присоединение к вашей организации AWS.
Вариант 2: Если поставщик должен оплатить счет AWS для вашей клиентской учетной записи, скорее всего, лучшим выбором будет перекрестная роль. В этом сценарии поставщик останется окончательной властью над вашей учетной записью клиента. Роль перекрестной учетной записи может иметь любой набор разрешений, включая доступ администратора к вашей клиентской учетной записи.
Предостережение: у вашего поставщика может быть сложная структура учетной записи для таких целей, как централизованное ведение журнала для всех своих клиентских учетных записей. Если это так, необходимо будет учесть дополнительные соображения.