AWS переносит учетную запись поставщика в мою организацию
Учтите, что я новичок в администрировании AWS.
У меня есть полный доступ к учетной записи AWS моей организации. Один из наших веб-сайтов (разработанный на Drupal) разработан поставщиком, который размещает его в своей учетной записи AWS (dev / prod env.). У них есть основная учетная запись и отдельные учетные записи для каждого клиента.
Моя организация хочет перенести всю инфраструктуру в нашу собственную среду AWS, что кажется отличной идеей. Тем временем я нашел организации AWS и знаю, что могу пригласить поставщика присоединиться к нашей организации, а затем мы сможем ограничить их доступ (только доступ для разработки) и самостоятельно управлять веб-сайтом и соответствующей инфраструктурой. Но это означает, что мы будем контролировать их корневую учетную запись, чего не произойдет, поскольку у них есть и другие учетные записи клиентов.
В этом случае предложите, пожалуйста, лучший способ получить полный доступ и контроль только для нашей учетной записи?
Для ясности я буду ссылаться на конкретную учетную запись AWS, которую поставщик имеет для ваших ресурсов AWS, в качестве учетной записи клиента.
У вас есть два варианта:
Попросить поставщика передать только ваш клиентский аккаунт в вашу организацию AWS.
Используйте роль кросс-аккаунта IAM, чтобы взять на себя роль в своей клиентской учетной записи.
Любой из этих вариантов может быть настроен, чтобы позволить вам администрировать ресурсы AWS, которые поставщик имеет в вашей учетной записи клиента.
Вариант 1: Если ваша компания должна оплатить счет AWS за ваш клиентский аккаунт, то перенос аккаунта из организации AWS поставщика в вашу организацию AWS, скорее всего, будет лучшим выбором. Поставщику не нужно делать свою главную учетную запись AWS частью вашей организации, нужно только отсоединить конкретную клиентскую учетную запись от своей организации AWS, а затем принять запрос на присоединение к вашей организации AWS.
Вариант 2: Если поставщик должен оплатить счет AWS за ваш клиентский аккаунт, то роль перекрестного аккаунта, скорее всего, будет лучшим выбором. В этом сценарии поставщик останется окончательной властью над вашей клиентской учетной записью. Роль перекрестной учетной записи может иметь любой набор разрешений, включая доступ администратора к вашей клиентской учетной записи.
Предостережение: ваш поставщик может иметь сложную структуру учетной записи для таких целей, как централизованное ведение журнала для всех своих клиентских учетных записей. В этом случае необходимо будет учесть дополнительные соображения.