Настройка индивидуальных аккаунтов разработчиков в AWS Landing zone seup

1. Рекомендуется ли иметь индивидуальные учетные записи разработчиков?

Игровая площадка/песочница — это очень эффективный шаблон для развития облачных навыков в вашей команде. Однако их масштабное использование требует хорошей дисциплины в отношении бюджетов (оповещения!) и процесса вывода из эксплуатации. Если у вас нет необходимой автоматизации для управления этим, вероятно, лучше делегировать эту ответственность владельцам/менеджерам продукта (или тем, кто отвечает за стоимость и бюджеты облачных сред для своих команд).

2. Как настроить индивидуальные учетные записи разработчиков при использовании Landing zone setup. (На данный момент все пользователи входят в учетную запись целевой зоны и принимают роль в учетных записях Sandbox/dev/test/prod.

Настройка предполагаемой роли довольно утомительна, AWS SSO обеспечивает гораздо лучшую основу для дальнейшего развития. Хотя, конечно, вы всегда можете настроить отдельных пользователей AWS IAM в учетных записях разработчиков с поставщиком удостоверений SAML в каждой учетной записи. Это довольно большая работа для автоматизации, и это дополнительное препятствие, которое необходимо преодолеть, чтобы предоставить разработчикам доступ к CLI/API.

Мне очень не нравится эта фраза, но "как бывает". Наличие выделенных учетных записей для каждого разработчика может быть роскошью, но в то же время, если ресурсы останутся незавершенными, вы увидите увеличение счета за AWS. Учетная запись разработчика должна быть специфичной для некоторых проектов, над которыми работает команда. У вас также может быть несколько коротких живых учетных записей в песочнице для выполнения определенных POC.

AWS Landing Zone поставляется с автоматом по продаже учетных записей. Он построен с использованием каталога сервисов AWS. Вы должны использовать это для создания / предоставления новых учетных записей.

Я рекомендую проверить AWS Control Tower. Это новая версия решения AWS Landing Zone, выпущенная как услуга.