Présentation
L'évaluation des comptes des organisations AWS vous permet de gérer et de centraliser l'évaluation de tous les comptes AWS au sein de vos organisations AWS, ce qui vous permet de mieux comprendre et de gérer les dépendances desdites organisations. Le processus d'évaluation manuelle des dépendances d'AWS Organizations peut prendre du temps et peut impliquer l'examen de dizaines, voire de centaines de ressources AWS relatives à des comptes individuels. Vous pouvez désormais exécuter trois types d'analyses pour rechercher des comptes d'administrateur délégués, des politiques basées sur l'identité et les ressources, ainsi que des services AWS dotés d'un accès sécurisé activé pour vos organisations AWS, le tout à partir d'une simple interface utilisateur.
Avantages
Affichez, examinez et résolvez les problèmes liés à vos résultats d'analyse dans une interface utilisateur Web intuitive.
Utilisez plus de 25 services AWS avec cette solution, tous dotés d'un accès approuvé afin d'effectuer des opérations sur tous les comptes AWS de votre organisation AWS.
Analysez les politiques basées sur les ressources, les comptes d'administrateur délégué et les accès approuvés grâce à l'interface utilisateur Web.
Détails techniques
Vous pouvez déployer automatiquement cette architecture à l’aide du guide d’implémentation et du modèle AWS CloudFormation qui l’accompagne.
Étape 1
Les utilisateurs se connectent au compte hub à l'aide de l'interface utilisateur Web, et le groupe d'utilisateurs Amazon Cognito authentifie chaque utilisateur. Amazon CloudFront fournit le contenu de l'interface utilisateur Web à partir d'un compartiment Amazon Simple Storage Service (Amazon S3).
Étape 2
Le compartiment S3 héberge l'interface utilisateur Web.
Étape 3
Lorsque vous lancez une analyse, l'interface utilisateur Web reçoit un jeton d'Amazon Cognito et envoie une demande à Amazon API Gateway. AWS WAF protège les interfaces de programmation d'application (API) contre les attaques.
Cette solution configure un ensemble de règles appelé liste de contrôle d'accès Web (ACL) qui autorise, bloque ou compte les requêtes Web en fonction de règles et de conditions de sécurité Web configurables et définies par l'utilisateur.
Remarque : les étapes 3 à 6 se répètent pour chaque type d'analyse.
Étape 4
Une API Gateway fournit la couche API de la solution.
Remarque : les étapes 3 à 6 se répètent pour chaque type d'analyse.
Étape 5
Amazon Cognito authentifie le jeton dans l'en-tête des demandes d'API.
Remarque : les étapes 3 à 6 se répètent pour chaque type d'analyse.
Étape 6
AWS Lambda sert les microservices et achemine les demandes d'API vers chaque microservice. Le microservice de gestion des tâches gère la création, la suppression et l'historique de chaque tâche d'analyse initiée par l'utilisateur dans l'interface utilisateur Web.
Remarque : les étapes 3 à 6 se répètent pour chaque type d'analyse.
Analyse des comptes d'administrateur délégué
Étape 7
Le microservice d'analyse des comptes d'administrateur délégué recherche et stocke les informations relatives aux comptes d'administrateur délégué pour tous les services AWS activés dans une table Amazon DynamoDB. Ces comptes peuvent appeler les opérations d'API AWS Account Management pour d'autres comptes membres de l'organisation.
Analyse des comptes d'administrateur délégué
Étape 8
Ce microservice obtient les informations à partir du compte de gestion d'Organizations.
Analyse d'accès approuvé
Étape 9
Le microservice d'analyse d'accès approuvé recherche et stocke les services dans AWS Organizations avec un accès approuvé qui permet au service d'effectuer des tâches au sein de votre organisation et de ses comptes en votre nom. Ce microservice stocke les principaux de services dans une table DynamoDB.
Analyse d'accès approuvé
Étape 10
Ce microservice obtient les informations à partir du compte de gestion AWS Organizations.
Analyse des politiques basées sur les ressources
Étape 11
Le microservice d'analyse des politiques basées sur les ressources utilise une fonction Lambda pour lancer une tâche asynchrone et invoquer AWS Step Functions.
Analyse des politiques basées sur les ressources
Étape 12
La machine d'état Step Functions analyse plusieurs comptes et régions AWS en parallèle pour rechercher et stocker les détails des ressources dans la table DynamoDB. Ce microservice peut analyser jusqu'à 25 services AWS à travers les comptes de votre organisation et identifier les dépendances entre les ressources.
Analyse des politiques basées sur les ressources
Étape 13
Chaque itération de la machine d'état invoquera une fonction Lambda pour assumer un rôle dans chaque compte spoke. Ce microservice vérifie les conditions dans les politiques qui peuvent contenir des ID d'organisation ou des ID d'unités d'organisation.
Étape 1
Les utilisateurs se connectent au compte hub à l'aide de l'interface utilisateur Web, et le groupe d'utilisateurs Amazon Cognito authentifie chaque utilisateur. Amazon CloudFront fournit le contenu de l'interface utilisateur Web à partir d'un compartiment Amazon Simple Storage Service (Amazon S3).
Étape 2
Le compartiment S3 héberge l'interface utilisateur Web.
Étape 3
Lorsque vous lancez une analyse, l'interface utilisateur Web reçoit un jeton d'Amazon Cognito et envoie une demande à Amazon API Gateway. AWS WAF protège les interfaces de programmation d'application (API) contre les attaques.
Cette solution configure un ensemble de règles appelé liste de contrôle d'accès Web (ACL) qui autorise, bloque ou compte les requêtes Web en fonction de règles et de conditions de sécurité Web configurables et définies par l'utilisateur.
Remarque : les étapes 3 à 6 se répètent pour chaque type d'analyse.
Étape 4
Une API Gateway fournit la couche API de la solution.
Remarque : les étapes 3 à 6 se répètent pour chaque type d'analyse.
Étape 5
Amazon Cognito authentifie le jeton dans l'en-tête des demandes d'API.
Remarque : les étapes 3 à 6 se répètent pour chaque type d'analyse.
Étape 6
AWS Lambda sert les microservices et achemine les demandes d'API vers chaque microservice. Le microservice de gestion des tâches gère la création, la suppression et l'historique de chaque tâche d'analyse initiée par l'utilisateur dans l'interface utilisateur Web.
Remarque : les étapes 3 à 6 se répètent pour chaque type d'analyse.
Analyse des comptes d'administrateur délégué
Étape 7
Le microservice d'analyse des comptes d'administrateur délégué recherche et stocke les informations relatives aux comptes d'administrateur délégué pour tous les services AWS activés dans une table Amazon DynamoDB. Ces comptes peuvent appeler les opérations d'API AWS Account Management pour d'autres comptes membres de l'organisation.
Analyse des comptes d'administrateur délégué
Étape 8
Ce microservice obtient les informations à partir du compte de gestion d'Organizations.
Analyse d'accès approuvé
Étape 9
Le microservice d'analyse d'accès approuvé recherche et stocke les services dans AWS Organizations avec un accès approuvé qui permet au service d'effectuer des tâches au sein de votre organisation et de ses comptes en votre nom. Ce microservice stocke les principaux de services dans une table DynamoDB.
Analyse d'accès approuvé
Étape 10
Ce microservice obtient les informations à partir du compte de gestion AWS Organizations.
Analyse des politiques basées sur les ressources
Étape 11
Le microservice d'analyse des politiques basées sur les ressources utilise une fonction Lambda pour lancer une tâche asynchrone et invoquer AWS Step Functions.
Analyse des politiques basées sur les ressources
Étape 12
La machine d'état Step Functions analyse plusieurs comptes et régions AWS en parallèle pour rechercher et stocker les détails des ressources dans la table DynamoDB. Ce microservice peut analyser jusqu'à 25 services AWS à travers les comptes de votre organisation et identifier les dépendances entre les ressources.
Analyse des politiques basées sur les ressources
Étape 13
Chaque itération de la machine d'état invoquera une fonction Lambda pour assumer un rôle dans chaque compte spoke. Ce microservice vérifie les conditions dans les politiques qui peuvent contenir des ID d'organisation ou des ID d'unités d'organisation.
Rubriques connexes
Identifiez certaines des considérations relatives aux comptes, aux rapports, à la facturation et autres éléments que vous devez prendre en compte lors de la migration des comptes.
Découvrez comment migrer vos comptes configurés avec la facturation consolidée vers une nouvelle organisation dotée de toutes les fonctionnalités.
Cette page vous a-t-elle été utile ?
- Date de publication