请考虑一下我是 AWS 管理的新手。
我对我所在组织的 AWS 账户拥有完全访问权限。我们的一个网站(使用 Drupal 开发)由供应商开发,供应商将其托管在他们的 AWS 账户(dev/prod env.)中。他们有一个主账户,并为每个客户提供单独的账户。
我的组织希望将整个基础设施迁移到我们自己的 AWS 环境中,这似乎是一个好主意。同时,我找到了 AWS 组织,我知道我可以邀请供应商加入我们的组织,然后我们可以限制他们的访问权限(仅限开发访问权限)并自行管理网站和相应的基础设施。但这意味着我们将控制他们的根帐户,而这不会发生,因为他们还有其他客户帐户。
在这种情况下,请建议获取我们帐户的完全访问权和控制权的最佳方法?
答案1
为了清楚起见,我将把供应商为您的 AWS 资源提供的特定 AWS 账户称为您的客户账户。
您有两个选择:
让供应商将您的客户帐户转移到您的 AWS 组织。
使用 IAM 跨账户角色在您的客户账户中承担角色。
可以设置这两个选项中的任一个,以允许您管理供应商在您的客户帐户中拥有的 AWS 资源。
选项1:如果你的公司应该支付 AWS 账单为您的客户帐户,然后将帐户从供应商的 AWS 组织转移到您的 AWS 组织很可能是最佳选择。供应商无需将其 AWS 主帐户作为您组织的一部分,只需将您的特定客户帐户从其 AWS 组织中分离出来,然后接受加入您的 AWS 组织的请求。
选项 2:供应商是否应该支付 AWS 费用对于您的客户帐户,跨帐户角色很可能是最佳选择。在这种情况下,供应商将保留对您的客户帐户的最终权力。可以向跨帐户角色授予任何权限,最高可达您的客户帐户的管理员访问权限。
警告:您的供应商可能设置了复杂的帐户结构,用于集中记录所有客户帐户。如果是这种情况,则需要考虑其他因素。