EKS İçin Multi-Account Yapılandırması

Küçük bir startup iken tek bir AWS hesabında (Single Account) çalışmak kolaydır. Ancak büyüdükçe; geliştirme (Dev), test (Stage) ve canlı (Prod) ortamlarını aynı hesapta tutmak riskli hale gelir. Bir geliştirici yanlışlıkla Prod veritabanını silebilir veya Dev ortamındaki bir kaynak kotayı (Quota) doldurup Prod'u etkileyebilir.

Çözüm: AWS Organizations ile Çoklu Hesap (Multi-Account) mimarisi.

Hesap Ayrımı Stratejisi

Her ortam için ayrı bir AWS hesabı açın:

1. Workload - Prod: Sadece canlı müşteri trafiğini alan EKS kümesi. Erişim çok kısıtlıdır.
2. Workload - NonProd: Dev ve Staging kümeleri. Geliştiricilerin daha geniş yetkileri vardır.
3. Shared Services: ECR (Container Registry), CI/CD araçları (Jenkins) ve VPN gibi ortak servisler burada bulunur.

EKS ve ECR Arasında Çapraz Hesap Erişimi (Cross-Account)

İmajlarınız Shared Services hesabındaki ECR'da duruyor, ancak EKS Prod hesabında çalışıyor. EKS, o imajı nasıl çekecek?

• ECR Politikası: ECR repository politikasına, Prod hesabının ID'sine ecr:BatchGetImage izni veren bir kural ekleyin.
• Bu sayede, imajları kopyalamaya gerek kalmadan merkezi bir registry kullanabilirsiniz.

Bu yapı, "Blast Radius"u (Patlama Alanı) sınırlar. Dev hesabı hacklense bile, saldırgan Prod hesabına erişemez. AWS Danışmanlığı hizmetimizde kurumsal müşterilerimize daima bu yapıyı kuruyoruz.