Multi-account landing zone på AWS
Du växer ur det enda AWS-kontot och vill ha tydliga gränser för risk, behörighet och kostnad.
Ett enda konto för allt gör blast radius total och kostnader omöjliga att fördela. En landing zone delar upp organisationen i separata konton per miljö och funktion, med centraliserad styrning ovanpå. Tanken är att ett misstag i sandlådan aldrig ska kunna nå produktion, och att varje teams kostnad och behörighet blir synlig och avgränsad.
Komponenter
AWS Organizations
Samlar konton i en organisation med Service Control Policies som sätter hårda gränser.
Konton per miljö
Separata konton för prod, test, sandlåda och delade tjänster - isolering som standard.
IAM Identity Center (SSO)
Central inloggning med rollbaserad åtkomst i stället för långlivade nycklar per konto.
Centraliserad loggning
CloudTrail och loggar samlade i ett revisionskonto som teamen inte kan ändra i.
Terraform
Hela strukturen som kod så att nya konton skapas reproducerbart och granskbart.
Avvägningar
Flera konton framför ett
- För
- Hård isolering av risk, behörighet och kostnad - fel i ett konto stannar där.
- Emot
- Mer struktur att sätta upp och förstå; overkill för en enda liten arbetslast.
Service Control Policies framför enbart IAM
- För
- Sätter ett tak ingen i kontot kan kliva över, oavsett lokala IAM-rättigheter.
- Emot
- För hårda policyer kan blockera legitimt arbete och kräva felsökning.
Identity Center framför IAM-användare per konto
- För
- En inloggning, korta sessioner och inga långlivade nycklar att läcka.
- Emot
- Ett centralt beroende att sätta upp rätt och hålla tillgängligt.
Egenbyggt framför Control Tower
- För
- Full kontroll och inga antaganden som inte passar er - allt i er Terraform.
- Emot
- Mer att underhålla själv; Control Tower ger guardrails ur lådan men med mindre frihet.
Kostnad
Själva kontostrukturen är i princip gratis - AWS tar inte betalt per konto, och konsoliderad fakturering kan till och med sänka kostnaden via samlade volymrabatter. Marginella poster tillkommer för CloudTrail-loggar och delade nätverkstjänster. Den verkliga investeringen är arbetet att sätta upp och underhålla strukturen rätt.
Ska vi bygga den här hos er?
En referensarkitektur är en startpunkt, inte en mall - det rätta valet beror på er last, ert team och era krav. Hör av dig så anpassar vi den efter sammanhanget.