我有一个 VPC,它有一个互联网网关和一些子网,这些子网使用 RAM 在多个 AWS 组织账户之间共享。VPC 受防火墙管理器管理的安全组保护,以确保将其复制到所有被授予共享子网访问权限的账户。而且,子网受 NACL 保护。NACL 和 SG 配置为允许在端口 80、443、22 和一些 ICMP 端口上进行双向通信。这一切似乎都正常工作。 但是,当我进入共享子网的帐户并将 ec2 实例启动到具有到互联网网关(公共子网)的路由的共享子网中时,我根本无法 ssh 进入 ec2 实例,而且我正在寻找一些关于我可能做错了什么的建议。 到目前为止我已经: 确认 N...
我想允许我的 AWS 组织 (在多个不同的 OU 下) 中的所有账户中的用户仅访问少数 AWS 服务:RDS、EC2、S3 等。换句话说,我需要阻止访问其他任何服务。我曾考虑使用 SCP,但拒绝访问这么多服务似乎不是一个好主意(默认情况下会附加 FullAWSAccess 服务控制策略)。我想问您是否曾经做过类似的事情,如果有,怎么做的? ...
我对担任组织管理员的可能性有疑问。计划是将自由职业者的外部 AWS 账户链接到我们的组织。 经过一番研究,我们发现这些实例对于来自同一组织的同事来说仍然是不可见的。AWS 将这些视为具有个人实例的 2 个个人帐户。但我们想密切关注我们的自由职业者。AWS 组织主要通过同一个银行账户开展工作。但仅此而已。 有没有办法看到多少您的组织拥有多少实例?或者查看有多少那个特定的帐户从普通账户支出? 您是否知道还有其他方法可以监视自由职业者? 先感谢您! ...
我们的 AWS 组织中有多个 OU。 我们使用 AWS cli 创建新的 AWS 组织成员。例如。 aws organizations create-account --email [email protected] --account-name "testaccount" 每次创建新成员帐户时,它都会添加到根目录下,而不是任何 OU 下。 我们想要在特定 OU 中添加新成员帐户。我们可以通过 CLI 或控制台手动将新成员帐户移动到任何 OU,但我们希望在创建帐户时指定它。 如果有人能给我指明正确的方向,那将会非常有帮助。 更新: ...
我们为客户提供某些 AWS 实验室。每次用户打开实验室时,都会创建一个新的成员帐户并将其添加到组织帐户中。 这只会在用户第一次登录实验室时发生。此成员帐户没有资源限制,可以做任何用户想做的事情。 例如。 启动任意类型和数量的 ec2 实例。 创建尽可能多的 s3 存储桶并上传任意大小的文件。 启动任何类型的 RDS 和 ElastiCache 集群。 这给我们带来了巨大的问题,我们希望根据实验室需要来限制资源。 经过大量研究,我得出了以下结论: Resource restrictions on OU level using SCP: 1. D...
在单个应用程序中运行多个应用程序可以吗私有云平台当然,我可能会用子网来区分它们。我这样想的原因是VPC每个 pegion 限制为 5 个(可以增加到 100 个),并且流量不是免费的VPC从另一个角度来看,它带来了复杂性,如果一堆独立的资源驻留在一个私有云平台. 也许最好使用AWS 组织创建独立账户,并将所有内容与应用程序和私有云平台? ...
请考虑一下我是 AWS 管理的新手。 我对我所在组织的 AWS 账户拥有完全访问权限。我们的一个网站(使用 Drupal 开发)由供应商开发,供应商将其托管在他们的 AWS 账户(dev/prod env.)中。他们有一个主账户,并为每个客户提供单独的账户。 我的组织希望将整个基础设施迁移到我们自己的 AWS 环境中,这似乎是一个好主意。同时,我找到了 AWS 组织,我知道我可以邀请供应商加入我们的组织,然后我们可以限制他们的访问权限(仅限开发访问权限)并自行管理网站和相应的基础设施。但这意味着我们将控制他们的根帐户,而这不会发生,因为他们还有其他客户帐...
我想知道是否可以在组织内的 AWS 账户之间移动作为承诺使用创建的特定 EC2 实例? 场景如下:假设技术公司为多个客户处理 IT 系统,并决定利用 AWS 组织为每个客户创建单独的子账户。在大多数情况下,系统在 ECS/EKS 集群上运行,因此虚拟机是同质的。由于这种同质性,大多数机器都是购买时承诺使用 1 年或 3 年。但某个时候客户可能会离开公司,而机器会留下来。是否可以将它们连同承诺使用一起转移到同一组织内的其他子账户? ...
是否可以强制要求 AWS 组织内的所有账户只能创建加密的 EBS 卷? 我知道你可以使用以下方法强制执行IAM 角色,但我想知道是否可以用 SCP 来完成。 这是我目前想到的办法,但不起作用。我已将其附加到我组织内的一个帐户,但我可以创建加密卷和非加密卷。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ec2:CreateVolume", "Resou...