Использование Control Tower для управления организацией в мульти-аккаунт схеме:
https://aws.amazon.com/blogs/apn/reducing-the-cost-of-managing-multiple-aws-accounts-using-aws-control-tower/
Расписаны отличия Control Tower от AWS Landing Zone и что в нём было урезано в последней версии для упрощения развёртывания.
#ControlTower #multi_account_strategy
https://aws.amazon.com/blogs/apn/reducing-the-cost-of-managing-multiple-aws-accounts-using-aws-control-tower/
Расписаны отличия Control Tower от AWS Landing Zone и что в нём было урезано в последней версии для упрощения развёртывания.
#ControlTower #multi_account_strategy
При настройке в Control Tower конфигурации Account factory нужно быть осторожным. Если решите поставить себе автосоздание VPC в нужных вам регионах (Control Tower → Account factory → Configuration) с приватными подсетями (что правильно по безопасности), то обязательно учитывайте, что в результате создадутся NAT GW по штуке на на каждую AZ.
Поставив вполне популярную конфигурацию 2 региона, 2 подсети и 3 зоны (на картинке) и наклепав себе десяток аккаунтов, типа для тренировки на будущее — в конце месяца будет ожидать сюрприз! 💸💸
Т.к. к приватным подсетям создаются NAT GW по штуке на подзону. Итого стольник на каждый регион на каждый аккаунт. Потому, даже ничего не делая, десяток аккаунтов "потренируют" на пару тысяч $$.
https://aws.amazon.com/vpc/pricing
Итого — лучше не включать автосоздание VPC в Control Tower - Account factory, создавая их когда потребуется самостоятельно.
#ControlTower
Поставив вполне популярную конфигурацию 2 региона, 2 подсети и 3 зоны (на картинке) и наклепав себе десяток аккаунтов, типа для тренировки на будущее — в конце месяца будет ожидать сюрприз! 💸💸
Т.к. к приватным подсетям создаются NAT GW по штуке на подзону. Итого стольник на каждый регион на каждый аккаунт. Потому, даже ничего не делая, десяток аккаунтов "потренируют" на пару тысяч $$.
https://aws.amazon.com/vpc/pricing
Итого — лучше не включать автосоздание VPC в Control Tower - Account factory, создавая их когда потребуется самостоятельно.
#ControlTower
Хорошее видео с онлайн-митапа AWS User Group India, где Ian Mckay, создатель Console Recorder и Former2 рассказал и показал их в действии:
https://youtu.be/JeKEi-me01k?t=456
Там же полноценный 40-минутный доклад несравненной Zamira Jaupaj, которая рассказала про работу Control Tower и AWS Landing Zone — всё очень детально и хорошо разложено по полочкам с реальными примерами, очень рекомендую:
https://youtu.be/JeKEi-me01k?t=1676
Ссылка одна и та же, с разными отметками времени - на начало докладов.
#ControlTower
https://youtu.be/JeKEi-me01k?t=456
Там же полноценный 40-минутный доклад несравненной Zamira Jaupaj, которая рассказала про работу Control Tower и AWS Landing Zone — всё очень детально и хорошо разложено по полочкам с реальными примерами, очень рекомендую:
https://youtu.be/JeKEi-me01k?t=1676
Ссылка одна и та же, с разными отметками времени - на начало докладов.
#ControlTower
Настоящий мультиаккаунт — Control Tower landing zone version 4.0 🎉
https://docs.aws.amazon.com/controltower/latest/userguide/2025-all.html#lz-40
Чудо, произошло чудо! Начиная с
1️⃣ Включаем AWS Organizations (программно)
2️⃣ Создаём Log archive и Audit аккаунты (программно)
Заходим в AWS console и включаем Control Tower (вручную)
3️⃣ Деплоим всё остальное (программно)
Никаких заходов вручную в консоль, ура!
Впервые с 2017-го года, восемь лет мультимучений позади.
Кроме того, теперь можно не создавать (включить-выключить):
▫️ Config
▫️ CloudTrail
▫️ Security Roles
▫️ Backup
И можно не создавать противный Security OU, полностью задавая, как будет выглядеть твоя AWS Organization.
P.S. Хм. Только вот IAM юзера всё равно ж придётся создать, чтобы это всё учинить далее программно. Ведь даже aws login предполагает наличие такого юзера. Либо может через роль. Надо будет попробовать на свежем аккаунте.
#ControlTower #multi_account_strategy
https://docs.aws.amazon.com/controltower/latest/userguide/2025-all.html#lz-40
Чудо, произошло чудо! Начиная с
9 декабря 2025-го года мультиаккаунты можно настроить полностью программно!1️⃣ Включаем AWS Organizations (программно)
2️⃣ Создаём Log archive и Audit аккаунты (программно)
3️⃣ Деплоим всё остальное (программно)
Никаких заходов вручную в консоль, ура!
Впервые с 2017-го года, восемь лет мультимучений позади.
Кроме того, теперь можно не создавать (включить-выключить):
▫️ Config
▫️ CloudTrail
▫️ Security Roles
▫️ Backup
И можно не создавать противный Security OU, полностью задавая, как будет выглядеть твоя AWS Organization.
P.S. Хм. Только вот IAM юзера всё равно ж придётся создать, чтобы это всё учинить далее программно. Ведь даже aws login предполагает наличие такого юзера. Либо может через роль. Надо будет попробовать на свежем аккаунте.
#ControlTower #multi_account_strategy
Amazon
January 2025 - Present - AWS Control Tower
See the updates released by AWS Control Tower in 2025.
👍4❤2