ข้ามไปเนื้อหาหลัก
ความปลอดภัย· ~14 นาที

AWS Organizations และ SCP

จัดการหลายบัญชีและตั้งกรอบสิทธิ์ระดับองค์กร

เปรียบเทียบให้เห็นภาพ

Organizations เหมือนบริษัทแม่ที่มีบริษัทลูกหลายแห่ง (แต่ละบัญชี AWS = บริษัทลูก) ส่วน SCP คือกฎบริษัทแม่ที่บอกว่า "บริษัทลูกห้ามทำอะไรบ้าง" แม้ผู้จัดการลูกจะอยากทำก็ทำไม่ได้

AWS Organizations ใช้รวมหลายบัญชีไว้จัดการรวมศูนย์ (รวมบิล, จัดกลุ่มด้วย OU). Service Control Policy (SCP) คือเพดานสิทธิ์สูงสุดที่บัญชีในองค์กรทำได้

  • รวมบิลทุกบัญชี (consolidated billing) ได้ส่วนลดตามปริมาณ
  • จัดบัญชีเป็น OU (Organizational Unit) แล้วใช้ SCP กับทั้ง OU
  • ตัวอย่าง SCP: ห้ามใช้ Region ที่ไม่อนุญาต หรือห้ามปิด CloudTrail

สรุป Key Takeaways

  • Organizations รวมหลายบัญชี: จัดกลุ่มด้วย OU และรวมบิล
  • SCP = เพดานสิทธิ์ (กรอบจำกัด) ไม่ใช่การให้สิทธิ์
  • สิทธิ์จริง = สิ่งที่ทั้ง SCP และ IAM อนุญาตพร้อมกัน

ลองทำ Quiz ท้ายบท

คำถามแนวข้อสอบของโมดูลนี้ 5 ข้อ · เฉลยทันที

อ่านจบแล้วอย่าลืมทำเครื่องหมาย