为什么需要将管理访问权限委托给某些服务?

0

【以下的问题经过翻译处理】 我不理解将管理访问权限委托给某些服务(例如guard duty)的成员帐户的概念。为什么需要这种委托?通常,在企业级别,AWS SSO在管理帐户中与IDP(大多是Azure)集成,用户/组将能够按照权限集和定义的SCP访问成员帐户。如果我在Azure AD中给予安全帐户对特定组/用户的访问权限并限制其他人的访问权限,那么这种委托概念是什么?有人可以帮我吗?

1 回答
0

【以下的回答经过翻译处理】 委派的目的是为了允许组织中的不同AWS帐户托管不同的AWS工具。委派使您可以指定AWS帐户,该帐户将是您AWS组织中特定管理或安全工具的唯一管理员。根据多账户策略,AWS建议客户通过帐户边界分离关注点,出于各种原因,包括限制爆炸半径、数据保护、计费和更多。例如,通过将Guard Duty委派给特定的AWS帐户,您可以为该帐户应用适当的保护设施(这对安全处理最为适用,但可能与其他帐户不同),并且可以轻松识别与Guard Duty相关的资源和数据传输费用。

使用多个AWS帐户 单个帐户无法设置良好架构的环境。通过使用多个帐户,您可以最好地支持安全目标和业务流程。以下是使用多账户方法的一些优点:

安全控制 - 应用程序具有不同的安全配置文件,因此需要不同的控制策略和机制。例如,要与审计员交流并指向一个单个帐户托管付款卡行业(PCI)工作负载会容易得多。 隔离 - 帐户是安全保护的一个单元。可能的风险和安全威胁可以在帐户内部进行限制,而不会影响其他人。因此,安全需求可能需要您相互隔离帐户。例如,您可能拥有具有不同安全配置文件的团队。

许多团队 - 团

profile picture
专家
已回答 3 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则