AWS Landing Zone กระดุมเม็ดแรกของการเริ่มต้นเข้าสู่การใช้งาน AWS

ทักทายผู้อ่าน

สวัสดีครับผู้อ่านทุก ๆ ท่าน เรากลับมาพบกันอีกครั้งกับบทความของ AWS วันนี้ผมมีบทความจะมาแบ่งปันเรื่องที่ผู้อ่านหลาย ๆ คนอาจจะยังไม่เคยรู้มาก่อนซึ่งเป็นวิธีการใช้ AWS ที่เหมาะสมสำหรับการใช้งานที่ซับซ้อน โดยเฉพาะสำหรับการใช้งานโดยองค์กรที่มีผู้ใช้จำนวนเยอะๆ จากหลายแผนก การใช้งานแบบนี้สร้างปัญหาให้กับผู้ดูแลระบบ AWS ขององค์กรมากมายไม่ว่าจะเป็นปัญหา Security, Operation และความเสถียรของระบบ

สิ่งที่จะมาแก้ไขปัญหานี้ได้สำหรับองค์กรเรียกว่า AWS Landing Zone ที่เป็นวิธีการใช้งาน AWS ที่ออกมาเพื่อแบ่งการใช้งานเป็นหลาย Account ซึ่งจะคล้ายกับที่ทุกองค์กรจะต้องทำ Active Directory (AD) สำหรับ User ในบริษัท โดย Landing Zone คือการจัดแบ่งและบริหาร AWS หลาย Account (Multi-Account) หลายบริการ Cloud (Resource และ Service) และหลาย Environment (Multi-Environment) นั่นเอง 

โดยบริหารให้ User แบ่งเป็นตามแผนก หรือ Project ละแผนกจะคล้ายกับการจัด User ใน Active Directory (AD) ให้เป็นแผนกและการสร้าง Trust และหว่าง Domain ในองค์กร และ Assign สิทธิการใช้ Asset ในองค์กร เช่น Printer ให้แต่ละ User โดย Landing Zone เป็นวิธีการใช้ AWS ที่ถูกออกแบบขึ้นมาเพื่อให้องค์กรใช้ AWS Cloud ได้ราบรื่นมากยิ่งขึ้น เอาล่ะครับ ถ้าพร้อมแล้วเรามาทำความรู้จักกับ AWS Landing Zone และมาดูตัวอย่างของการใช้ประโยชน์บริการนี้ของ AWS กันไปพร้อม ๆ กันในบทความนี้ได้เลย

AWS Landing Zone คืออะไรกันแน่นะ

AWS Landing Zone เป็นสิ่งที่เข้ามาช่วยในการจัดการระบบ AWS สำหรับองค์กรตั้งแต่ขนาดเล็กไปจนถึงขนาดใหญ่ที่มี Users จำนวนมากที่เข้ามาใช้งาน ซึ่งถ้าหากว่าเราต้องมานั่งทำการจัดการทรัพยากรต่าง ๆ พร้อมจัดการเปิด Permission ให้แต่ละ User นั้นก็จะทำให้เกิดความยุ่งยาก เสียเวลา และมีความเสี่ยงต้องต่อความผิดพลาดสูง Landing Zone จึงเป็นคำตอบสำหรับปัญหาเหล่านี้ 

การทำ Landing Zone เปรียบเสมือนการเขียนผังเมืองไว้ตั้งแต่แรกเพื่อรองรับการเตรียมการขยายของเมือง และการเติบโตของประชากร การเขียนผังเมืองที่ดีก็จะทำให้ระบบ AWS ขององค์กร สามารถขยับขยาย Scale ได้ง่ายปลอดภัยสำหรับผู้ใช้งาน (User Friendly) เหมือนเมืองที่ถูกออกแบบมาผังเมืองมาอย่างดีนั่นเอง (จริง ๆ แล้วถ้าใครที่เคยอ่านบทความ Azure ของ Cloud HM มาบ้างแล้วก็อาจจะเคยเห็นบทความที่พูดถึง Azure Landing Zone มาแล้ว ซึ่งเป็นแนวคิดเดียวกัน ถ้าสนใจก็ไปอ่านได้ที่ https://blog.cloudhm.co.th/what-is-azure-landing-zone/)

องค์กรของคุณจำเป็นต้องใช้ AWS Landing Zone หรือไม่

ถ้าหากผู้อ่านยังลังเลว่าจะใช้ AWS Landing Zone ในการสร้างระบบแบบหลายบัญชีดีไหม ให้ลองดูคำถาม 4 ข้อต่อไปนี้ครับ

  1. ธุรกิจของผู้อ่านมีการใช้งาน AWS หลายแผนก หรือหลายทีม และต้องการระบบการจัดการแบบแยกส่วน (Isolation) ระหว่าง Workloads ของแต่ละแผนก หรือทีมหรือไม่
  2. ธุรกิจของผู้อ่านต้องการจำกัดการมองเห็น หรือจำกัดการเข้าถึง ระหว่างแผนก หรือทีมต่างๆ หรือไม่
  3. ธุรกิจของผู้อ่านต้องการแยกการจัดการเพื่อลดความเสี่ยงที่อาจจะเกิดขึ้นและไม่ให้ส่งผลกระทบในวงกว้างหรือไม่ (เช่น ข้อผิดพลาดจากการ Configuration/Deployment ของทีมนึง และส่งผลเสียหายกับอีกทีมนึง)
  4. ธุรกิจของผู้อ่านต้องการกู้คืนข้อมูลในกรณีที่ข้อมูลได้รับความเสียหายหรือถูกทำลายโดยไม่ได้ตั้งใจหรือไม่
  5. ธุรกิจของผู้อ่านต้องการแยกต้นทุนการใช้งาน Cloud Service ของแผนก หรือทีมต่างๆ เพื่อติดตามและควบคุมค่าใช้จ่ายหรือไม่

ถ้าคำตอบคือใช่ ขอแนะนำเลยว่าคุณควรมี Landing Zone แน่นอน โดยหลัก ๆ แล้วระบบ Landing Zone ที่ถูกออกแบบตาม Well-architected Framework มีข้อดีมากกว่าระบบที่มีเพียงแค่บัญชีเดียวอย่างแน่นอน

จริง ๆ AWS Landing Zone นั้นสามารถนำมาใช้งานได้กับธุรกิจหลายขนาด ไม่จำเป็นจะต้องเป็นธุรกิจขนาดใหญ่อย่างเดียวนั้น โดยคำแนะนำจากทาง AWS คือถึงแม้ว่าเราจะเพิ่งเริ่มต้นธุรกิจขนาดเล็ก ๆ เราก็สามารถตั้งค่าหลายบัญชีได้ และเราควรทำเป็นอย่างแรกด้วยเปรียบเสมือนก่อนสร้างเมืองเราต้องมีการวางผังเมืองก่อนเพื่อความเป็นระเบียบในการขยับขยายเมือง เพราะว่าปริมาณงานของเราบน AWS นั้น มีขนาดและความซับซ้อนเพิ่มขึ้นเรื่อย ๆ ซึ่งถ้าเราติดกระดุมเม็ดแรกถูกตั้งแต่แรกองค์กรของเราก็ไม่ต้องมานั่งปวดหัวหรือรื้อระบบต่าง ๆ ในภายหลัง

คราวนี้เรามาดูกันว่าประโยชน์ของ AWS Landing Zone นั้นมีอะไรบ้าง

  1. ช่วยให้เราสร้างผลงานหรือ Product ใหม่ ๆ ของธุรกิจของเราได้รวดเร็ว โดยเราสามารถจัดการบัญชี AWS ให้กับทีมของเราได้ โดยกำหนดได้หลากหลายทีม และแต่ละทีมก็สามารถมีจำนวนลูกทีมได้ตามต้องการ และเรายังกำหนดสิทธิอนุญาตสำหรับการรักษาความปลอดภัยของข้อมูลได้อีกด้วย โดยเราสามารถเข้าใช้งานผ่าน Single sign-on (SSO) Authentication คือมีเพียงแค่ Username & Password ชุดเดียวแต่สามารถควบคุมได้หลายบัญชี ดังนั้นเราจึงไม่ต้องไปพึ่งพาระบบการลงชื่อเข้าใช้งานผ่านผู้ให้บริการภายนอก ซึ่งจะเป็นการลดความเสี่ยงในการเข้าใช้งานระบบของเรา 
  1. การควบคุมการรักษาความปลอดภัย เราสามารถใช้บัญชี AWS แบบหลายบัญชีเพื่อแยกปริมาณงานหรือแอปพลิเคชันที่มีข้อกำหนดด้านการรักษาความปลอดภัยแบบเฉพาะได้ พูดง่าย ๆ ก็คือเราแบ่งสิทธิการเข้าถึง การแก้ไขได้นั่นเอง!
  1. ช่วยให้เราปรับให้เข้ากับกระบวนการทางธุรกิจได้อย่างง่ายดาย เราสามารถจัดระเบียบบัญชีของ AWS แบบหลายบัญชีของธุรกิจของเราได้อย่างง่ายดาย เพื่อให้สอดคล้องกับข้อระเบียบและแนวปฏิบัติของธุรกิจของเรา
  1. การเรียกเก็บเงินที่ง่ายขึ้น การใช้บัญชี AWS แบบหลายบัญชีนั้นช่วยลดความยุ่งยากในการจัดการค่าใช้จ่าย เช่น ช่วยระบุว่าบริการไหนใน AWS มีค่าใช้จ่ายเท่าไหร่ ทำให้เราสามารถวิเคราะห์ต้นทุนในการใช้งาน AWS ได้ 

ทิ้งท้าย (How to Start)

อ่านมาจนถึงตรงนี้ถ้าหากผู้อ่านมีความสนใจในบริการของ AWS โดยเฉพาะถ้าอยากจะปรึกษาเกี่ยวกับการให้บริการ AWS โดยเฉพาะการทำ Landing Zone สำหรับธุรกิจหรือบริษัทของคุณแต่ไม่รู้จะเริ่มต้นยังไง สามารถติดต่อ Cloud HM เพื่อให้คำปรึกษาได้โดยตรงเลยครับ เพราะเรามีผู้เชี่ยวชาญที่สามารถให้คำแนะนำได้สอดคล้องกับรูปแบบของบริษัทและเรามีการให้บริการ Cloud Platform ครบวงจร ทั้ง Domestic Cloud และ Global Cloud เพื่อตอบสนองความต้องการรอบด้านของลูกค้าครับ

ข้อมูลอ้างอิง:

https://d1.awsstatic.com/events/reinvent/2019/REPEAT_2_Architecting_security_&_governance_across_your_landing_zone_SEC325-R2.pdf

https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-aws-environment/understanding-landing-zones.html

— Cloud HM