Мы хотим позволить нашим клиентам создавать ресурсы AWS (скажем, EC2, S3 и VPC), а затем в конце месяца выставлять каждому из них счет за все, что они использовали.
Применяются типичные ограничения:
В документации AWS показано, что это должно быть сделано так: мы предоставляем нашу учетную запись AWS, эта учетная запись создает организацию, тогда каждый клиент будет учетной записью, принадлежащей организации.
В документации ясно сказано, что мы можем получить разбивку цен по каждому аккаунту внутри организации, но мы не уверены на 100%.
Часть, в которой мы полностью теряем уверенность, — это попытки выяснить, как программно генерировать данные для выставления счетов в конце месяца. В документации очень неясно, возможно ли это (хотя кажется очевидным, что так и должно быть?)
Кроме того, в некоторых местах мы находим упоминания людей, говорящих, что на самом деле должна быть одна организация для каждого клиента, а не одна учетная запись для каждого клиента, и мы задаемся вопросом о плюсах и минусах такой архитектуры нашего решения, а не одной учетной записи на каждого клиента в целом. единая орг.
Используя AWS Organizations, вы можете выделить по одному аккаунту AWS для каждого клиента. Каждая учетная запись AWS полностью изолирована, так же, как ваша учетная запись AWS изолирована от моей учетной записи AWS.
У каждой учетной записи AWS будет свой собственный счет, но платеж будет перенесен на вашу родительскую учетную запись AWS Organizations, поэтому вам будет выставлен счет на общую сумму дочерних учетных записей. Вы можете программно получить платежную информацию как на дочернем, так и на родительском уровне.
Обратите внимание: создание ресурсов в дочерних учетных записях означает, что они будут полностью изолированы. Если вы хотите разместить ресурсы в одном VPC, вам нужно будет использовать Совместное использование VPC: новый подход к нескольким учетным записям и управлению VPC | Сеть и доставка контента
Вы упоминаете, что хотите позволить своим клиентам создавать свои собственные ресурсы в своей учетной записи. Для этого вам потребуется создать пользователя IAM (или нескольких), чтобы он мог использовать учетную запись. Вы сохраните доступ к дочерней учетной записи через роль IAM, которую вы можете взять на себя от родительской учетной записи. Ваша задача будет заключаться в том, чтобы предоставить им достаточное разрешение на создание ресурсов и управление ими, но не слишком большое разрешение, чтобы они могли удалить вашу роль IAM и, следовательно, лишить вас доступа к учетной записи.
Я предлагаю вам создать организацию AWS и дочернюю учетную запись, чтобы вы могли поэкспериментировать с ней и понять, как она будет работать. Организация не взимает плату — вы платите только за используемые ресурсы AWS.