Организация нескольких проектов (AWS)
В нашей команде мы используем AWS в качестве основного поставщика облачных услуг, и в настоящее время у нас есть 3 проекта, размещенных на их платформе.
В ближайшие недели у нас будет еще 2 проекта, но сначала мы хотим организовать наши проекты, потому что наша текущая организация немного беспорядочна.
Мы хотим, чтобы наши проекты были организованы по следующим правилам:
- Каждый проект должен иметь промежуточную и производственную среду.
- Каждый проект независим друг от друга, поэтому невозможно увидеть ресурсы проекта из другого проекта, т. Е. VPC и S3 Buckets.
- Клиент несет ответственность за оплату счетов проекта (постановка и производственная среда).
- Несмотря на то, что клиент несет ответственность за оплату счетов, мы должны иметь доступ к средам для развертывания нашего кода и выполнения других задач, связанных с разработкой, тестированием и эксплуатацией.
- Под каждый проект мы можем выделить команду разработчиков. Разработчик должен иметь возможность одновременно участвовать в одном или нескольких проектах. Кроме того, должна быть возможность перемещать наших разработчиков между проектами и удалять их доступ к проекту.
Итак, можно ли организовать проекты в AWS по упомянутым ранее правилам? Если да, то какие хорошие ресурсы, чтобы узнать, как это сделать? Если нет, то какие облачные провайдеры позволяют организовывать проекты так, как мы хотим?
Спасибо за ваше внимание и время. Я с нетерпением жду ваших ответов.
Ответы 1
Тот факт, что вы хотите, чтобы плата за конкретный проект поступала к клиентам, и вы хотите, чтобы каждый проект был независимым, указывает на то, что вам лучше всего выбрать использовать отдельный аккаунт AWS для каждого проекта (или каждого клиента).
Сохраняя проекты в отдельных учетных записях AWS:
- Каждая учетная запись будет иметь только расходы, связанные с конкретным проектом
- Ресурсы в каждой учетной записи будут храниться отдельно
- Разрешения пользователей в каждой учетной записи будут храниться отдельно
- Вы можете создавать промежуточную и производственную среды в рамках одной учетной записи (см. ниже).
Вы можете объединить несколько учетных записей, используя Организации AWS:
AWS Organizations is an account management service that enables you to consolidate multiple AWS accounts into an organization that you create and centrally manage. AWS Organizations includes account management and consolidated billing capabilities that enable you to better meet the budgetary, security, and compliance needs of your business. As an administrator of an organization, you can create accounts in your organization and invite existing accounts to join the organization.
Некоторые компании идут еще дальше и тоже сохраняйте постановку и производство в отдельных учетных записях AWS. Они делают это, потому что хотят отделить производственные ресурсы и пользователей от непроизводственных ресурсов и пользователей. Это снижает вероятность того, что кто-то случайно изменит Production, когда хотел обновить Staging. Несмотря на то, что вы можете использовать разрешения IAM, чтобы избежать подобных ситуаций, хранение промежуточной и рабочей среды в отдельных учетных записях гарантирует, что люди, имеющие только разрешения на промежуточную обработку, не смогут повлиять на рабочую среду.
Ваша компания должна сохранить право собственности на все учетные записи, чтобы вы могли управлять ими и контролировать их. Каждый месяц вы будете получать сводный счет, но он будет показывать расходы с разбивкой по аккаунтам. Таким образом, вы будете знать, сколько брать с клиентов.
разработчикам потребуются отдельные входы в каждую учетную запись AWS.. Таким образом, если они хотят работать над Проектом 1, им нужно будет войти в учетную запись AWS для Проекта 1. После этого у них будет доступ к ресурсам в Проекте 1, но не к каким-либо другим проектам. Когда они захотят работать над другим проектом, им потребуется повторно войти в систему с учетными данными для учетной записи AWS другого проекта. Вы можете подумать, что это добавляет дополнительную работу, но это также повышает безопасность и гарантирует, что ресурсы каждого клиента полностью разделены.
Последнее преимущество использования отдельных учетных записей заключается в том, что в будущем, если клиент захочет получить контроль над своими системами, вы можете назначить им учетную запись AWS, не выполняя никакой работы по отделению их ресурсов от ресурсов других клиентов.. Это похоже на передачу ключей от дома — они могут въехать, и никто не должен будет выезжать.