Organizations, Control Tower & Service Catalog

Tổng quan

Multi-account strategy là best practice AWS: tách workload theo môi trường (prod/dev/sandbox), team, hoặc compliance boundary. Organizations quản lý cấu trúc, SCP đặt guardrail, Control Tower tự động hóa setup, Service Catalog chuẩn hóa resource provisioning.

AWS Organizations & SCP

• Management Account: root, không bị SCP ảnh hưởng.
• OU (Organization Unit): nhóm account theo logic (Prod, Dev, Security).
• SCP: maximum permission boundary, áp xuống OU/account. Deny list hoặc allow list strategy.
• Consolidated Billing: gộp usage → volume discount, Reserved Instance sharing.
• Tag Policies: enforce tag chuẩn cross-account.
• Backup Policies: centralize backup rules.

Control Tower

• Landing Zone: multi-account setup tự động với best practices.
• Account Factory: tạo account mới chuẩn hóa (VPC, IAM, logging).
• Guardrails: Preventive (SCP) + Detective (Config Rules) + Proactive (CloudFormation hooks).
• Dashboard: compliance status tất cả account.

Service Catalog

• Portfolio: tập hợp products (CloudFormation templates) được phê duyệt.
• Product: template chuẩn (EC2 approved config, RDS approved config).
• User chỉ launch từ catalog → đảm bảo compliance, không cần quyền trực tiếp lên resource.
• Constraint: launch constraint (role), template constraint (giới hạn parameter).