Eén AWS-account voor alles wordt te druk
Een account per omgeving (prod, staging, sandbox, security, log-archive) is de standaard sinds AWS Organizations. Het scheidt blast-radius, kosten, en IAM zonder dat je per VPC moet werken.
Probeer dit eerst zelf
- 1Zet AWS Organizations aan in het bestaande account, dat wordt de management-account. Doe daar niets meer in behalve org-beheer en billing.
- 2Maak minimaal: log-archive (alle CloudTrail-logs), security (GuardDuty, IAM Access Analyzer aggregator), prod, en non-prod accounts.
- 3Zet AWS Identity Center (SSO) aan. Mensen krijgen permission-sets die ze in elk account kunnen gebruiken, niet aparte IAM-users per account.
- 4Leg SCP's aan op de OU's: bijvoorbeeld geen root-actions, geen non-EU regio's, geen Security-disable.
- 5Zet Control Tower aan als je dit voor het eerst doet, dat doet de grondslag (CloudTrail, Config, log-archive) voor je.
Wanneer ons inschakelen
Voor 5+ accounts of als regulators meekijken, is een Control-Tower-baseline plus een korte governance-sessie meestal aan te raden.
Zie ook
- Iedereen logt in met het root-account van AWSHet root-account is voor noodgevallen en facturatie. Dagelijks werk hoort via IAM-users of SSO.
- Iedere developer heeft AdministratorAccessAdministratorAccess overal is gemak nu, drama later. Begin met rolgebaseerde policies.
- Iedereen heeft losse IAM-users met eigen wachtwoordIdentity Center (voorheen AWS SSO) koppelt aan je IdP en geeft tijdelijke credentials per sessie.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.