ทำไม AWS Organizations สำคัญ? ประโยชน์อะไรบ้าง? ดู Use Case ได้ที่นี่!
เมื่อมีการส่งเสริมการใช้ AWS ภายในบริษัท"วิธีจัดการและควบคุมenvironment" กลายเป็นปัญหาสำคัญปัจจุบันมีการแนะนำให้ใช้ "Multiple accounts" ซึ่งจะแยกบัญชี AWS สำหรับแต่ละวัตถุประสงค์การใช้งาน และการใช้งาน "AWS Organizations" จะช่วยให้คุณสามารถจัดการและควบคุม environment แบบ Multiple accounts ได้ ในบทความนี้เราได้สรุปสิ่งที่สามารถทำได้โดยเฉพาะ พื้นฐาน ประโยชน์ และ Use Case ของ AWS Organizations
สารบัญ
★AWS Organizationsคืออะไร
★ทำไม AWS Organizations ถึงสำคัญ
★ในการใช้ AWS อย่างแพร่หลาย คุณจะจัดการและควบคุมบัญชีจำนวนมากภายในองค์กรของคุณได้อย่างง่ายดายได้อย่างไร
★ประโยชน์ของการใช้งาน AWS Organizations
★Use Case ของ AWS Organizations
AWS Organizationsคืออะไร
AWS Organizations เป็นบริการสำหรับจัดการบัญชี AWS หลายบัญชีจากส่วนกลาง ประกอบด้วยบัญชีผู้ดูแลระบบ 1 บัญชีและบัญชีสมาชิกหลายบัญชี โดยมีคุณสมบัติหลัก ได้แก่
・สามารถจัดกลุ่มบัญชีสมาชิกและกำหนด policy สำหรับแต่ละบัญชี
・การรวมศูนย์การเรียกเก็บเงินไปยังบัญชีผู้ดูแลระบบ
การจัดกลุ่มบัญชีสมาชิกนี้เรียกว่า "Organizational Unit(OU)" และได้รับการจัดการโดยการสร้าง OU สำหรับแต่ละประเภท workload วัตถุประสงค์การใช้งาน งบประมาณ ฯลฯ และ กำหนดบัญชีให้เข้าเป็นสมาชิกเพื่อจัดการ นอกจากนี้ คุณสามารถสร้าง policy ที่เกี่ยวข้องกับความปลอดภัยหรือlog ฯลฯ และ สามารถตั้งค่าให้ apply ใช้กับทุกกลุ่มหรือใช้กับแต่ละ OU ได้
ทำไม AWS Organizations ถึงสำคัญ
ถึงแม้จะอยู่ในบริษัทเดียวกันแต่การใช้งาน AWS ก็แตกต่างกันไปขึ้นอยู่กับแผนก ระบบ และวัตถุประสงค์ แม้ว่าจะสามารถดำเนินการเหล่านี้ด้วยบัญชี AWS เดียวได้ แต่ก็มีหลายกรณีที่การจัดการระดับความปลอดภัยและงบประมาณที่จำเป็นกลายเป็นเรื่องยาก ดังนั้นจึงขอแนะนำการใช้งาน "Multiple accounts" ซึ่งจะแบ่งบัญชี AWS ออกเป็นส่วนย่อยสำหรับแต่ละ workload ฯลฯ
ตัวอย่างเช่น คุณอาจใช้บัญชีแยกต่างหากสำหรับ environment ที่เป็น production และไม่ใช่ production การตั้งค่า security ที่เข้มงวดสำหรับ production และการผ่อนปรน security สำหรับ environment ที่ไม่ใช่ production เพื่อให้เดฟได้ง่ายขึ้นและช่วยลดความเสี่ยงของ incident ที่เกิดจากความผิดพลาดของ operation และอีกวิธีหนึ่งที่พบบ่อย คือ การแยกบัญชีตามงบประมาณเพื่อจัดการค่าใช้จ่ายการใช้งานอย่างมีประสิทธิภาพและเชื่อถือได้
การใช้งาน Multiple accounts มีข้อดีหลายอย่าง แต่ว่าเมื่อใช้งานในฐานะองค์กร ความท้าทายอยู่ที่วิธีการควบคุมบัญชีเหล่านั้น ผู้ดูแลจำเป็นต้องเข้าใจวิธีการใช้ของแต่ละบัญชี และที่สำคัญคือต้องรวมการตั้งค่า security ขั้นพื้นฐานเข้าด้วยกัน AWS Organizations ทำให้การควบคุมการใช้หลายบัญชีเป็นเรื่องง่ายและลดต้นทุนการดำเนินงาน
นอกจากนี้ ฟังก์ชันการทำงานของ AWS Organizations เองก็มีให้ใช้งานได้โดยไม่เสียค่าใช้จ่าย
ประโยชน์ของการใช้งาน AWS Organizations
ข้อที่ 1 : ลดชั่วโมงการทำงานสำหรับการใช้งาน Multiple-accounts
ประการแรก จะช่วยลดชั่วโมงการทำงานที่จำเป็นสำหรับ Multiple-accounts ซึ่งอาจกล่าวได้ว่าเป็นพื้นฐานของ AWS Organizations การตั้งค่า policy สำหรับแต่ละบัญชีที่เป็นขององค์กรและการตรวจสอบว่ามีการใช้งานอย่างถูกต้องหรือไม่นั้นเป็นงานที่ยุ่งยาก ซึ่งการควบคุม operation เหล่านี้จากส่วนกลางสามารถนำไปสู่การลดชั่วโมงทำงานลงได้อย่างมาก
ข้อที่ 2 : ดำเนินการดูแลเรื่อง Security ได้จริง
บริการรักษาความปลอดภัยหลักๆของ AWS หลายบริการสามารถใช้งานร่วมกับ AWS Organizations ซึ่งเป็นข้อดีที่ทำให้คุณสามารถใช้บริการเหล่านั้นเพื่อควบคุมความปลอดภัยของการใช้งาน Multiple-accounts ได้
คุณสามารถตั้งค่าข้ามบัญชีได้ทั้ง "Traffic barrier" ที่ห้าม operation ที่ไม่ควรทำ และ "Control Tower" ที่ตรวจจับและแจ้งเตือนการกำหนดค่าที่มีความเสี่ยง ทำให้สามารถป้องกันข้อผิดพลาดในการตั้งค่า หรือ การลืมตั้งค่าได้ ทำให้การควบคุม Security เป็นไปอย่างทั่วถึงและมาตรการที่เข้มงวดยิ่งขึ้น
นอกจากนี้ยังสามารถกำหนดการตั้งค่าสำหรับแต่ละกลุ่มได้ และข้อดีคือคุณสามารถตรวจสอบได้อย่างง่ายดายว่าบัญชีใดมีการตั้งค่าใด
ข้อที่ 3 : การจัดการแบบรวมศูนย์และการเรียกเก็บค่าธรรมเนียมแบบรวบยอด
ตามที่เกริ่นไปต้นบทความว่า หากเราใช้ AWS Organizations ค่าธรรมเนียมการใช้งานสำหรับบัญชีที่เป็นสมาชิกจะถูกเรียกเก็บเงินก้อนเดียวไปยังบัญชีที่เป็น admin ซึ่งจะช่วยลดภาระในการประมวลผลการชำระเงิน นอกจากนี้ เมื่อรวมค่าใช้จ่ายเป็นบัญชีเดียว ทุกบัญชีสมาชิกจะได้รับส่วนลดตามปริมาณการใช้งาน
เมื่อเปรียบเทียบกับการใช้แยกกัน อุปสรรคในการใช้งานจะน้อยกว่าและมีแนวโน้มว่าจะสามารถลดต้นทุนได้
แน่นอนว่าค่าธรรมเนียมการใช้งานสำหรับแต่ละบัญชีสามารถจัดการแยกกันได้ ทำให้ง่ายต่อการติดตามการใช้งานตามงบประมาณของแต่ละแผนก
Use Case ของ AWS Organizations
ประโยชน์ของการใช้งาน AWS Organizations มีมากมาย ในบทความนี้มี 2 Use Case ที่อธิบายรายละเอียดวิธีใช้งาน และผลลัพธ์ในการใช้งานที่คุณจะได้รับ
Use Case 1 : การแยกบัญชีตามโปรเจคท์
เมื่อใช้บัญชี AWS เดียวสำหรับหลายโปรเจคท์ resource จะอยู่รวมกันอย่างไม่เป็นระเบียบซึ่งส่งผลให้เกิดปัญหาจาก operation ได้ง่าย เช่น "เผลอใช้ resource ของโปรเจคท์อื่นที่ทำให้เกิด Security Incident" หรือ "ระบบขัดข้องจาก workloads ของโปรเจคท์อื่น" ในแง่ของsecurity อาจเป็นเรื่องยากในการดูแลการตั้งค่า security ให้เหมาะสมกับ workloads ที่ต้องมี security ที่เข้มงวด และ workloads ที่ต้องการสภาพแวดล้อมที่ค่อนข้างยืดหยุ่น
ปัญหาทั้งหมดนี้สามารถแก้ไขได้โดยใช้ AWS Organizations ที่ออกแบบและนำแนวคิดไปใช้อย่างเหมาะสม นอกจากจะสามารถเข้าใจค่าใช้จ่ายของแต่ละบัญชีได้แล้ว ยังแยกสิทธิพิเศษด้าน security ได้ง่ายอีกด้วย ความรับผิดชอบต่อแต่ละ resource มีความชัดเจน ทำให้สามารถปฏิบัติงานที่มีการควบคุมอย่างดี
Use Case 2 : ใช้สำหรับ Sandbox
การใช้ AWS Organizations ลดอุปสรรคในการสร้างบัญชี AWS ใหม่ได้มาก ทำให้ง่ายต่อการสร้างบัญชี AWS ตามความจำเป็น และลบออกเมื่อไม่จำเป็นต้องใช้อีกต่อไป เนื่องจากการสร้างบัญชี AWS ไม่มีค่าใช้จ่าย ทำให้เราสามารถสร้างสร้างบัญชี AWS ใหม่เพื่อใช้เป็นพื้นที่สำหรับ Sandbox environment ได้ด้วยเช่นกัน
ยกตัวอย่างเช่น เราจัดเตรียม AWS environment ให้แต่ละคนเพื่อการเรียนรู้สำหรับการเทรนนิ่งพนักงานใหม่ หรือจัดเตรียม AWS environment สำหรับนักเรียนแต่ละคนในสถาบันการศึกษา เช่น มหาวิทยาลัย วิธีนี้จะป้องกันไม่ให้ผู้อื่นเห็น resource ของคุณ และเราขอแนะนำให้ตั้งค่า environment หนึ่งรายการสำหรับแต่ละคนเพื่อป้องกันปัญหาที่เกิดจากความผิดพลาดต่างๆในการปฏิบัติงาน
การใช้งานในลักษณะนี้ นอกจากจะสามารถใช้เป็นรั้วป้องกันเพื่อจำกัดรีเจี้ยนและบริการที่มีอยู่ ยังใช้เพื่อป้องกันไม่ให้มีการสร้างอินสแตนซ์ EC2 ขนาดใหญ่โดยไม่จำเป็นและเกิดค่าใช้จ่ายที่ไม่ได้วางแผนไว้ ในส่วนของค่าใช้จ่าย คุณยังสามารถใช้งานร่วมกับ AWS Budget และกำหนดลิมิตของ environment ที่ใช้สำหรับเทรนนนิ่งต่อคนต่อเดือนและรับการแจ้งเตือนได้
บทความที่เกี่ยวข้องกับ AWS Organizations
เข้าใจโครงสร้าง Classmethod Members ยกระดับความปลอดภัย AWS Account