Облачные вычисления
Multi-Account Strategy
Capital One переходит на AWS: один аккаунт на environment на команду - тысячи аккаунтов. Netflix: один аккаунт на микросервис. Это не хаос, это архитектура безопасности. Компрометация одного аккаунта = изолированный инцидент.
- **Capital One:** После взлома в 2019 (100M записей клиентов) разработала строгую multi-account стратегию. Каждая команда имеет изолированные аккаунты prod/staging/dev. SCP запрещают любые действия вне одобренных регионов.
- **Booking.com:** Более 500 AWS аккаунтов через AWS Organizations. Control Tower Guardrails обеспечивают compliance с GDPR: SCP блокируют создание ресурсов вне EU регионов для данных европейских пользователей.
- **Accenture AWS Landing Zone:** Open-source решение для клиентов. Развёртывает полную multi-account структуру за 2 часа через CloudFormation. Используется сотнями enterprise компаний как отправная точка.
Org Units
AWS Organizations позволяет централизованно управлять несколькими AWS аккаунтами. Organizational Units (OU) - иерархические группы аккаунтов. Типичная структура: Root -> OU Security (Log Archive, Security Tooling) -> OU Infrastructure (Shared Services, Network) -> OU Workloads -> OU Sandbox. Netflix использует тысячи аккаунтов для изоляции сервисов. Capital One: один аккаунт на environment на команду.
Принцип наименьших привилегий через изоляцию аккаунтов: компрометация одного аккаунта не затрагивает другие. Blast radius ограничен аккаунтом. Billing: Consolidated Billing объединяет расходы с volume discount. Reserved Instances и Savings Plans шарятся между аккаунтами организации.
Почему крупные компании (Netflix, Capital One) используют тысячи AWS аккаунтов вместо одного?
Scp
Service Control Policies (SCP) - guardrails для аккаунтов и OU. Определяют максимальные разрешения - даже Administrator IAM role не может превысить SCP. Deny в SCP блокирует действие для всех: root user, IAM users, roles, services. Типичные SCP: запрет отключения CloudTrail, запрет создания ресурсов вне разрешённых регионов, запрет удаления Security Hub.
SCP не предоставляют разрешения - они только ограничивают. Разрешения по-прежнему нужно давать через IAM. SCP применяются к аккаунтам в OU кумулятивно от корня: аккаунт получает пересечение всех SCP по пути Root -> OU -> Account. FullAWSAccess SCP по умолчанию разрешает всё.
SCP с Deny на определённое действие блокирует это действие для кого?
Landing Zone
Landing Zone - baseline архитектура multi-account AWS окружения с предустановленными guardrails, security controls и сетевой топологией. Включает: Management Account (организация, billing), Log Archive Account (CloudTrail, Config, Security Hub logs), Security Tooling Account (GuardDuty, Security Hub master), Network Account (Transit Gateway, Direct Connect). AWS рекомендует Landing Zone как отправную точку для любого enterprise.
AWS Landing Zone Accelerator (LZA) - open-source решение для автоматизации развёртывания Landing Zone через CDK + CodePipeline. Альтернатива: Terraform AWS Landing Zone module от HashiCorp. AWS Control Tower - managed сервис для Landing Zone с GUI.
Зачем выделять отдельный Log Archive Account в Landing Zone?
Control Tower
AWS Control Tower - managed сервис для автоматического развёртывания Landing Zone с GUI. Предоставляет Guardrails (превентивные через SCP, детективные через AWS Config Rules) из коробки. Account Factory автоматизирует создание новых аккаунтов по шаблону. Account Factory for Terraform (AFT) интегрирует с Terraform pipelines.
Control Tower Guardrails категории: Mandatory (нельзя отключить - защита самого Control Tower), Strongly Recommended (включены по умолчанию), Elective (на выбор). Примеры: 'Disallow Changes to CloudWatch Logs' (Mandatory), 'Disallow Public Access to S3' (Strongly Recommended).
Чем Control Tower Mandatory Guardrails отличаются от Elective Guardrails?
Ключевые идеи
- **Organizations + OU:** Иерархия Root -> OU Security / Infrastructure / Workloads. Consolidated Billing объединяет расходы с volume discount. Аккаунт = граница безопасности и billing.
- **SCP = hard limits:** Deny в SCP блокирует всех включая root user. Типичные guardrails: запрет вне одобренных регионов, запрет отключения CloudTrail, обязательный IMDSv2. SCP не дают разрешений - только ограничивают.
- **Landing Zone + Control Tower:** Landing Zone - baseline архитектура (Management, Log Archive, Security, Network аккаунты). Control Tower автоматизирует развёртывание. AFT интегрирует Account Factory с Terraform pipeline.
Связанные темы
Multi-Account Strategy связана с безопасностью и сетевой архитектурой:
- AWS IAM Identity Center (SSO) — Централизованный вход во все аккаунты организации через один IDP (Okta, Azure AD). Permission Sets определяют доступ к аккаунтам. Control Tower автоматически настраивает SSO при создании аккаунта
- Transit Gateway — Централизованный hub для сетевой связности между аккаунтами. Network Account содержит Transit Gateway, другие аккаунты подключаются через Transit Gateway Attachments
- AWS Security Hub — Security Hub в Security Tooling Account агрегирует findings из GuardDuty, Config, Inspector всех аккаунтов организации. Organizations интеграция автоматически добавляет новые аккаунты
Вопросы для размышления
- Как организовать cross-account доступ к ресурсам (например, ECR Registry в Shared Services аккаунте для всех workload аккаунтов)?
- Какие SCP добавить для соответствия GDPR: передача данных за пределы EU, шифрование, логирование?
- Как организовать emergency break-glass доступ в любой аккаунт при инциденте, сохраняя полный audit trail?