AWS Resource Access Manager 解決跨帳號管理的問題以及延伸議題

2019-11-03 AWS

Resource Access Manager 簡稱 RAM,是 2018 re:Invent 發表的新服務,主要是針對 Multi-Account 的客群提供服務,並且支援多項當天在 re:Invent 新發表的服務,如 Transit Gateways, Route 53 DNS Resolver。

功能

分享服務資源給其他帳號,相同的設定由一個帳號設定就可以套用到所有帳號,例如:Subnet, DNS Resolver Rule … 等,該服務免費

支援服務

  • Capacity Reservations
  • Traffic mirror targets
  • Transit Gateways
  • VPC Subnet
  • License Manager (configurations)
  • Route 53 Resolver (forwarding rules)
  • DB Cluster

詳細參照官方 Document

應用場景

RAM 支援的 Transit Gateways, Route 53 Resolver, License Manager 都是可以統一控管設定,避免重工的情況。

Subnet 蠻特殊的,被 Shard 的帳號可以不用建 VPC、Subnet,直接在 EC2 上就選的到 subnet-xxxx (shard) 字樣的 Subnet,共享 Subnet 的概念讓 Multi-Account 每個帳號要做的事情變少了。

延伸議題

被 Shard 的帳號在 Resource 的顯示上並沒有很明顯,除了 Subnet 會顯示 (Share) 以外,其他不容易辨識,對於接手維護的人如果沒有交接很清楚,會找不到這個 Resource 到底是從哪來的 …

而使用 Shared Subnet 的帳號也不能互相使用 Security Groups Source-Id 設定,單純真的只有 Subnet 而已,對於管理上其實也不太方便,到最後有可能這個 Subnet 到底有哪些 instance 會很難盤點出來。

Shard DB Cluster 一開始我以為搭配 Shared Subnet 可以使用同一個帳號的 Aurora 之類的,結果只能用來 Clone … 想到的應用情境大多是 Pre-Production 環境使用。

結論

看起來是針對 Multi-Account 客群設計的服務,但相關情境還未能達到 Production 使用的等級,目前個人評價是「雞助」等級的服務。

給 Mr. 沙先生一點建議

彙整

分類

展開全部 | 收合全部

License

訂閱 Mr. 沙先生 的文章

輸入你的 email 用於訂閱