W AWS możemy tworzyć konta i zarządzać nimi na kilka sposobów. Oczywiście nie powinniśmy zarządzać kontem AWS przy pomocą konta root. Zarządzanie użytkownikami w wersji standardowej, gdy tworzymy użytkowników IAM w przypadku organizacji zaczyna być uciążliwe.

Możmy jednk zarządzać dostępem w sposób bardziej uporządkowany wykorzystując usługę AWS Organization.

Tworząc konta z wykorzystaniem tej usługi uzyskujemy pełną izolacje między środowiskami/projektami. Dla kolejnych środowisk lub projektów tworzymy osobne konta AWS. Jedno konto możemy traktować jako środowisko produkcyjne inne jako testowe, albo developerskie.

Gdy mamy bardzo dużą ilość kont w organizacji możemy utworzyć strukturę organizacji. Pozwoli to na łatwiejsze zarządzanie naszymi środowiskami. Każda jednostka organizacyjna może mieć przypisane przez nas zasady które będą dziedziczone. Oznacza to tyle, że jeśli mamy np. określone zasady dla środowiska testowego to nie musimy ich przypisywać po kolei na każdym środowisku. Wystarczy zrobić to tylko raz, a wszystkie konta automatycznie odziedziczą ustawienia oraz uprawnienia.

AWS Single Sign-On (SSO)

Aby uniknąć uciążliwego zarzadzania użytkownikami IAM warto skorzystać również z innej usługi AWS SSO. Tutaj w prosty sposób dodajemy użytkowników, grupy i mamy możliwość zarządzania nimi na poziomie całej organizacji. Możemy przypisywać użytkownikom lub grupom uprawnienia w poszczególnych środowiskach (kontach AWS Organization). Użytkownicy nie znajdują się na określonym koncie tylko są tworzeni na poziomie organizacji. Usługa AWS SSO może być zintegrowana dodatkowo z naszym Active Directory np. Azure AD.

Gdy już zintegrujemy nasze AD z AWS SSO uzytkownicy nie logują się już przez panel który do tej pory służył do logowania. Teraz użytkownicy logują się przez portal użytkownika.

Uzyskujemy poniższy widok z wyborem kont i ról do zalogowania

Takie podejście umożliwia użytkownikom elastyczne logowanie na różne konta z wybranym zestawem uprawnień i szybkie przełączanie się.