PProfessNet Academy
Amazon AWS — fundamenty/01intro12 min

Konta, Organizations i IAM

W AWS podstawową granicą izolacji jest konto (account) — nie subskrypcja jak w Azure. Zrozumienie kont, Organizations i IAM to fundament, na którym opiera się każdy dostęp — w tym read-only dostęp, którego używa ZEUS.

Konto jako granica

Pojedyncze konto AWS to granica rozliczeń, izolacji zasobów i (domyślnie) bezpieczeństwa. Dobra praktyka to multi-account: osobne konta dla prod, dev, security, logowania — zamiast wszystkiego w jednym.

AWS Organizations

Organizations spina wiele kont pod jednym management account i pozwala grupować je w Organizational Units (OU). Daje też Service Control Policies (SCP) — bariery (guardrails), które ograniczają, co konta w OU mogą robić, niezależnie od ich własnych uprawnień IAM.

# Lista kont w organizacji
aws organizations list-accounts --output table

# Struktura OU
aws organizations list-organizational-units-for-parent \
  --parent-id r-xxxx --output table
PojęcieRola
Management accountkorzeń organizacji, rozliczenia
OUgrupa kont do wspólnej polityki
SCPguardrail ograniczający uprawnienia
Member accountkonto robocze (prod/dev/...)

IAM — kto może co

IAM (Identity and Access Management) zarządza tożsamością i dostępem:

  • Użytkownicy IAM — tożsamości długoterminowe (unikaj ich dla ludzi; używaj IAM Identity Center / SSO).
  • Role IAM — tożsamości tymczasowe, przyjmowane przez AssumeRole. To preferowany mechanizm dla aplikacji i dostępu cross-account.
  • Polityki — dokumenty JSON określające Effect, Action, Resource.

Przykład polityki tylko-do-odczytu na S3:

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": ["s3:GetObject", "s3:ListBucket"],
    "Resource": ["arn:aws:s3:::zeus-data", "arn:aws:s3:::zeus-data/*"]
  }]
}

Wskazówka: zasada najmniejszych uprawnień. Zamiast AdministratorAccess nadawaj wąskie polityki. Do audytu read-only AWS ma gotową managed policy ReadOnlyAccess oraz SecurityAudit.

Jak to widzi ZEUS

ZEUS łączy się z AWS przez rolę IAM przyjmowaną cross-account (lub access key dla pojedynczego konta) z politykami ReadOnlyAccess i SecurityAudit. Dzięki Organizations może odczytać całą strukturę: management account, OU, konta członkowskie i SCP. To pozwala zbudować mapę całego krajobrazu AWS klienta z jednego punktu. Szczegóły konektora omówimy w lekcji 07.

W następnej lekcji zejdziemy do warstwy sieciowej: VPC, podsieci i security groups.