身份賬戶體系結構（Identity Account Architecture）

關注公衆號：AWS愛好者（iloveaws）
文 | 沉默惡魔（禁止轉載，轉載請先經過作者同意）
網站：www.iloveaws.cn

【 Domain 1的組織複雜性設計（Design for Organizational Complexity）】——02-身份賬戶體系結構（Identity Account Architecture）

Hello大家好歡迎回來，我們今天將討論身份賬戶體系結構（Identity Account Architecture）內容，是【 Domain 1的組織複雜性設計（Design for Organizational Complexity）】的第二篇內容。

AWS解決方案架構師認證 Professional / AWS Certified Solutions Architect–
Professional
—2019系列的課程的最終目的是幫助大家順利通過新版考試。隨着後續系列課程的持續深入，我們的目標是將所有SAP-C01新版考試涉及到的內容、考點逐步推出系列課程，幫助大家備考。此係列課程也同樣適用於想了解和學習AWS的同學，請大家多多支持。

由單一AWS賬戶發展成多個，帶來的管理問題

現在很多創業型以及小、中型企業使用AWS是從一個單一的AWS賬戶開始的，如果您只有一個AWS賬戶，管理任務就變的簡單多了。假設有一個開發人員zhangsan想要訪問這個 AWS賬戶，只需要給zhangsan建立一個IAM用戶和密碼，如業務需要你可以繼續爲其創建一個訪問密鑰，這樣即可滿足需求；如果zhangsan離職了，您可以禁用其用戶和密碼，然後停用訪問密鑰，這部分管理任務非常的簡單。

然而當組織逐步發展壯大後，管理AWS賬戶將變的相當有挑戰性。假設我們企業由1個AWS賬戶發展的到了4個賬戶，ACCOUNT A、B、C、D。同樣， 我們假設這個開發人員zhangsan有業務需要訪問這4個AWS賬戶的資源，那麼常規的做法是在ACCOUNT A、B、C、D分別爲開發人員zhangsan創建IAM用戶，而且要在這4個賬戶中分別爲這個開發人員zhangsan建立訪問密鑰。假設開發人員zhangsan離開組織了，您需要分別登錄這4個AWS賬戶，禁用 zhangsan的IAM用戶，並在每一個AWS賬戶中停用訪問密鑰。

這肯定不是一個理想的管理方式。因爲隨着組織的逐步發展，可能有幾十、幾百個員工需要使用AWS，需要創建和管理用戶，您肯定不希望每天的工作都是在添加、管理IAM用戶。

中央身份賬戶體系

爲了解決這個管理問題，您需要中央身份賬戶體系。在組織中設置一個獨立的、專用的AWS賬戶，作爲身份賬戶（Identity Account）。在這個身份賬戶中，集中爲您的組織建立用戶、密碼以及訪問密鑰、管理用戶。

假設我們也已經爲身份賬戶和組織擁有的其他AWS賬戶建立了信任策略，並完成了相應的配置，在前面提到的這個多AWS賬戶場景下，只需要在作爲身份賬戶（Identity Account）的AWS賬戶下，爲開發人員zhangsan建立IAM用戶，然後只需要使用zhangsan登錄身份賬戶，就可以切換並登錄其他不同的AWS賬戶A、B、C、D，訪問其他AWS賬戶中的資源，當然取決於zhangsan擁有的權限。

在中央身份賬戶體系下，如果一個新的員工加入您的組織，所有您要做的你只需要將他加入這個身份賬戶（Identity Account）中，如果他離開組織，你也只需要將他從這個身份賬戶（Identity Account）中移除即可。如果他忘記密碼，您也只需要在這個身份賬戶中重置他的密碼即可。所以，用戶管理任務在這個中央賬戶體系中將會變的非常容易。因爲您只需要在作爲身份賬戶的AWS賬戶中集中管理用戶。

中央身份賬戶切換至其他AWS賬戶下的角色訪問資源快速演示

接下來的內容，我們快速演示上面講的中央身份賬戶體系，通過登陸身份賬戶並切換至其他AWS賬戶下角色訪問相應資源。

假設測試場景爲我們有兩個AWS賬戶，一個作爲身份賬戶（Identity Account）（ID:256454142732），另一個賬戶作爲生產環境賬戶（ID:458556760960）。括號中的ID爲AWS賬戶ID，可通過登陸AWS管理控制檯獲得。

我們在身份賬戶（ID:256454142732）中創建開發人員用戶shangsan，並且不會在生產環境賬戶中創建這個用戶。我們看下zhangsan這個用戶在登陸身份賬戶（Identity Account）（ID:256454142732）的情況下，切換至生產環境賬戶（ID:458556760960）下的角色CA-TEST，並擁有生產環境賬戶（ID:458556760960）下的S3存儲桶的完全訪問權限。

通過這種方式實現了通過中央身份賬戶統一、集中管理所有用戶，通過切換至其他AWS賬戶下的角色，定義角色權限策略，訪問其他AWS賬戶下的資源。

實現中央身份賬戶體系的演示主要有三個步驟：

1.在身份賬戶*（ID:256454142732）中創建一個開發用戶，IAM用戶名爲zhangsan。
2.在生成環境賬戶（ID:458556760960）中創建一個跨賬戶角色：CA-TEST
3.在身份賬戶（ID:256454142732）*中配置允許用戶zhangsan 切換到 生產環境賬戶（ID:458556760960）的CA-TEST 角色。

我們將在下一個教程中實操演示這些步驟。在今天的教程內容中，我們假設上面的步驟都已經完成，將快速展示一下最終實現的效果。

首先，我們使用IAM用戶zhangshan登陸身份賬戶（ID:256454142732）。賬戶填寫身份賬戶的賬戶ID，用戶名爲zhangsan，填寫對應zhangsan的密碼。

成功登陸後進入AWS管理控制檯，控制檯右上角可以看到用戶@AWS賬號ID 。

這裏插一個題外話，作爲身份賬戶的AWS賬號，最好只負責身份賬戶管理唯一用途，確保身份賬戶中的用戶沒有任何權限或者服務，這是我們建議的實踐。當然除了我們提到的給予切換角色的權限，這塊的內容我們會在下一個教程中演示。

我們使用zhangsan登陸了身份賬戶（ID:256454142732），然後下一步需要在AWS管理控制檯上將其切換爲AWS生產環境賬戶（ID:458556760960）的角色CA-TEST。

zhangsan切換時需要一個signin地址，如下：（地址可以在CA-TEST角色的摘要中找到，下一個課程會詳細說明）
https://signin.aws.amazon.com/switchrole?roleName=CA-TEST&account=458556760960

我們訪問下這個地址

進入到切換角色頁面，其中賬戶爲生產環境賬戶ID，角色爲我們在生產環境賬戶中建立的CA-TEST角色。在顯示名稱輸入框我們輸入生產賬戶，這樣標示會看着比較清楚，然後點擊切換角色。

點擊切換角色後實際發生的是身份賬戶（ID:256454142732）的zhangsan用戶，已經登錄到了生產環境賬戶（ID:458556760960），且已經切換成爲我們在生產環境賬戶中創建的角色CA-TEST。管理控制檯右上角的圖標可以看到這已經是登陸到生產環境賬戶了，我們可以在這個賬戶通過給角色分配權限給zhangsan適當的許可和權限。

我們假設zhangsan用戶需要訪問生產環境賬戶中的S3存儲桶，您就可以將CA-TEST角色分配S3的完全訪問權限，我們這裏已經分配完成了，我們測試下：

目前用戶zhangsan用戶已經可以通過登陸身份賬戶（Identity Account），然後通過跨AWS賬戶角色訪問的方式，擁有生產環境賬戶中的S3存儲桶資源的完全訪問權限了。

在AWS管理控制檯點擊生產環境—返回zhangsan,將會從生產環境賬戶的角色返回到身份賬戶的zhangsan環境。

以上課程內容是身份賬戶體系結構， 我們介紹了身份賬戶體系結構，並快速演示了中央身份賬戶體系，通過登陸身份賬戶並切換至其他AWS賬戶下角色訪問相應資源。在下一個課程，我們將會從頭開始創建並講解今天的演示環境，讓大家對於這部分內容有一個更深的瞭解。

我們今天討論的內容是身份賬戶體系結構（Identity Account Architecture）內容，是【 Domain 1的組織複雜性設計（Design for Organizational Complexity）】的第二篇內容。

希望此係列教程能爲您通過 AWS解決方案架構師認證 Professional 認證考試帶來幫助，如您有任何疑問，請聯繫我們：

關注公衆號：AWS愛好者（iloveaws）
文 | 沉默惡魔（禁止轉載，轉載請先經過作者同意）
網站：www.iloveaws.cn