Pagbabalik-tanaw sa AWS Amarathon 2025

Pag-deploy ng TEAM at Pagbuo ng Pinakamahusay na Engineering Team

Serye ng Pagbabalik-tanaw

Mga Tala ng Sesyon

Disenyo ng Multi-Account at IAM:

  • [ 1 ] Arkitekturang Single Account:
  • Dahil sa kumplikadong pamamahala ng permission, mahirap matiyak ang seguridad
  • Mahirap subaybayan ang gastos sa bawat workload
  • Madaling magkaroon ng operational error at problema sa quota, kaya mahirap itong patakbuhin
  • [ 2 ] Arkitekturang Multi-Account:
  • Pahusayin ang seguridad sa pamamagitan ng paghihiwalay ng mga privilege
  • Madaling maunawaan ang gastos ng bawat workload
  • Pahusayin ang operational efficiency sa pamamagitan ng pagbawas sa epekto ng trabaho Paraan ng Jump Account:
  • Mag-set up ng mga Jump account at pagsama-samahin ang mga IAM user
  • Nagla-log in ang mga user sa Jump account at nagpapalit ng role para sa bawat account
  • Ibinibigay sa target role ang mga permission para sa bawat account
  • Mga tip sa disenyo ng IAM gamit ang paraan ng Jump Account:
  • [ 1 ] Gumawa ng mga group batay sa mga aktuwal na role
  • [ 2 ] Gumawa ng mga role para sa bawat account batay sa tungkulin ng mga ito
  • [ 3 ] Tukuyin ang switching account at IAM role para sa bawat IAM group Access Control gamit ang TEAM:
  • Paano natin dapat pangasiwaan ang access control para sa production environment?
  • Change Management: Kailan at sino ang nag-access sa production environment para sa mga operasyon ng pagbabago?
  • Production Access Control: Maa-access ba ang production environment anumang oras?

Access Control gamit ang TEAM

Ano ang TEAM (Temporary Elevated Access Management)?

  • Daglat ng Temporary Elevated Access Management
  • Isang workflow na batay sa authorization para sa pamamahala ng access sa mga account
  • Ibinibigay bilang application na maa-access sa pamamagitan ng IAM Identity Center access portal Workflow para sa Production Access Control gamit ang TEAM (Application):
  • [1/3] Read-only permission lamang ang mayroon para sa production account; piliin ang TEAM mula sa application
  • [2/3] Gumawa ng request
  • [3/3] Pending ang status dahil hindi pa ito naaaprubahan Workflow para sa Production Access Control gamit ang TEAM (Pag-apruba):
  • Pinipili ng approver ang kaugnay na request mula sa "Aprubahan ang request," naglalagay ng komento, at inaaprubahan ito Workflow para sa Production Access Control gamit ang TEAM (Authorization):
  • Naidagdag na ang mga access permission sa production account
  • Dahil naaprubahan na ito, nakatakda na ngayon sa "approved" ang status. Pangkalahatang Istruktura ng Team:
  • ① I-access ang Amazon Web Services access portal sa IAM Identity Center
  • ② I-access ang TEAM application
  • ③ Humiling ng elevated access
  • ④ Aprubahan ang elevated access
  • ⑤ I-activate ang elevated access
  • ⑥ Gamitin ang elevated access
  • ⑦ I-log ang session activity
  • ⑧ Tapusin ang elevated access
  • ⑨ Suriin ang mga detalye ng request at mga log ng session activity

Disenyo at Implementasyon ng TEAM:

  • Pag-aayos ng mga permission para sa migration sa IAM Identity Center:
  • ① Ayusin ang mga role at policy para sa bawat account, Gumawa ng mga permission set
  • ② Ayusin ang mga group at policy ng Jump account, Irehistro ang mga group sa Entra ID
  • ③ Gumawa ng assignment, Gamitin ang CloudFormation Pagdidisenyo ng mga panuntunan para sa persona assignment at mga approval workflow:
  • May apat na persona ang TEAM (Humiling ng access, Aprubahan ang access request, I-audit ang mga log, Pamahalaan ang mga panuntunan)
  • Pagdidisenyo ng persona assignment at mga panuntunan sa pag-apruba
  • Disenyo ng persona assignment
  • Ano ang dapat isumite para sa pag-apruba?
  • Sino ang dapat mag-apruba/tumanggi?
  • Pinakamahabang oras para magbigay ng pag-apruba
  • Mga destinasyon ng notification (Mail, Chat...) Unti-unting pagpapalawak sa saklaw ng application mula sa maliliit na operasyon:
  • Subukan ang mga operasyon sa maliit na team at unti-unting palawakin ang saklaw ng adaptation
  • Indibidwal → Aking team → buong department
  • [ 1 ] Patakbuhin nang kasabay ng mga umiiral na system
  • Bawasan ang epekto sa negosyo
  • [ 2 ] Suriin ang mga setting at operasyon batay sa feedback
  • Sapat ba ang pagtatalaga ng mga persona? May naibibigay bang hindi inaasahang permission? IAM Identity Center x TEAM:
  • Gamitin ang mga SSO user na naka-provision mula sa Entra ID
  • Magpalit ng role patungo sa mga non-production account sa pamamagitan ng IAM Identity Center access portal
  • Magpalit ng role patungo sa mga non-production account pagkatapos ng pag-apruba sa TEAM

Mga Benepisyo ng TEAM:

  • IAM Identity Center x TEAM:
  • [ 1 ] Pananaw ng User:
  • Mas simple na ngayon ang pagpapalit ng role sa pagitan ng mga account
  • Mas maikli ang proseso ng request, na may mas simple at mas malinaw na UI
  • Pinahusay na development efficiency
  • [ 2 ] Pananaw ng Administrator:
  • Hindi na kailangang mamahala ng IAM
  • Mas simple na ngayon ang pamamahala ng setting gaya ng pagtatalaga ng mga persona at mga panuntunan sa request
  • Pinahusay na operational efficiency Buod:
  • Sa pamamagitan ng "TEAM", napahusay ng lahat ng miyembro ng "Team" ang kanilang kamalayan sa operasyon at seguridad
  • Sa mga multi-account configuration, isaalang-alang ang access management para sa mga production account
  • Nagbibigay-daan ang "IAM Identity Center x TEAM" sa madaling pagkontrol
  • Pinapahusay ng implementasyon ng TEAM ang productivity, seguridad, at compliance ng team