ความปลอดภัย· ~14 นาที
AWS Organizations และ SCP
จัดการหลายบัญชีและตั้งกรอบสิทธิ์ระดับองค์กร
Organizations เหมือนบริษัทแม่ที่มีบริษัทลูกหลายแห่ง (แต่ละบัญชี AWS = บริษัทลูก) ส่วน SCP คือกฎบริษัทแม่ที่บอกว่า "บริษัทลูกห้ามทำอะไรบ้าง" แม้ผู้จัดการลูกจะอยากทำก็ทำไม่ได้
AWS Organizations ใช้รวมหลายบัญชีไว้จัดการรวมศูนย์ (รวมบิล, จัดกลุ่มด้วย OU). Service Control Policy (SCP) คือเพดานสิทธิ์สูงสุดที่บัญชีในองค์กรทำได้
- รวมบิลทุกบัญชี (consolidated billing) ได้ส่วนลดตามปริมาณ
- จัดบัญชีเป็น OU (Organizational Unit) แล้วใช้ SCP กับทั้ง OU
- ตัวอย่าง SCP: ห้ามใช้ Region ที่ไม่อนุญาต หรือห้ามปิด CloudTrail
สรุป Key Takeaways
- Organizations รวมหลายบัญชี: จัดกลุ่มด้วย OU และรวมบิล
- SCP = เพดานสิทธิ์ (กรอบจำกัด) ไม่ใช่การให้สิทธิ์
- สิทธิ์จริง = สิ่งที่ทั้ง SCP และ IAM อนุญาตพร้อมกัน
ลองทำ Quiz ท้ายบท
คำถามแนวข้อสอบของโมดูลนี้ 5 ข้อ · เฉลยทันที
อ่านจบแล้วอย่าลืมทำเครื่องหมาย

