Was ist eine Landezone? - AWS Präskriptive Leitlinien
Das Multi-Account-Framework

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Was ist eine Landezone?

Eine Landezone ist ein gut durchdachtes MultikontoAWSUmgebung, die skalierbar und sicher ist. Dies ist ein Ausgangspunkt, von dem aus Ihr Unternehmen Workloads und Anwendungen schnell starten und bereitstellen kann, ohne sich auf Ihre Sicherheits- und Infrastrukturumgebung verlassen zu müssen. Beim Aufbau einer Landezone müssen technische und geschäftliche Entscheidungen in Bezug auf Kontostruktur, Netzwerk, Sicherheit und Zugriffsmanagement getroffen werden, die dem Wachstum und den Geschäftszielen Ihres Unternehmens für die Zukunft entsprechen.

Wenn du anfängst zu benutzenAWSim großen Maßstab können Sie nachschauenAWSfür präskriptive Leitlinien und einen Ansatz zur Einrichtung Ihrer Umgebung.AWSDie bewährten Verfahren in diesem Bereich konzentrieren sich auf die Notwendigkeit, Ressourcen und Workloads auf mehrere zu verteilen.AWSKonten (Ressourcencontainer) für die Isolierung und den Umfang der Wirkungsreduzierungen. Im nächsten Abschnitt wird erklärt, warum Sie mehrere Konten verwenden möchten.

Das Multi-Account-Framework

Es gibt zwar keine allgemeingültige Antwort für wie vieleAWSKonten, die Sie haben sollten, wir empfehlen Ihnen, mehr als eines zu erstellenAWSKonto. Mehrere Konten bieten ein Höchstmaß an Ressourcen- und Sicherheitsisolierung. Erwägen Sie die Erstellung zusätzlicherAWSKonten, wenn Sie eine der folgenden Fragen mit Ja beantworten:

  • Erfordert Ihr Unternehmen eine administrative Isolierung zwischen Workloads?

  • Benötigt Ihr Unternehmen eine eingeschränkte Sichtbarkeit und Auffindbarkeit von Workloads?

  • Muss Ihr Unternehmen isoliert sein, um die Auswirkungen zu minimieren?

  • Erfordert Ihr Unternehmen eine strikte Isolierung von Wiederherstellungs- und/oder Prüfungsdaten?

Relationship of elements showing why one account isn't enough: many teams, security and compliance controls, billing, isolation, and business processes.

Hier sind weitere Gründe, warum ein einzelnes Konto möglicherweise nicht ausreicht:

  • Sicherheitskontrollen— Verschiedene Anwendungen verfügen möglicherweise über unterschiedliche Sicherheitsprofile und erfordern daher unterschiedliche Kontrollrichtlinien und -mechanismen. Es ist einfacher, mit einem Prüfer zu sprechen und auf ein einziges Konto zu verweisen, das den Payment Card Industry (PCI) -Workload hostet.

  • Isolierung— Ein Konto ist eine Sicherheitsschutzeinheit. Potenzielle Risiken und Sicherheitsbedrohungen sollten in einem Konto enthalten sein, ohne andere zu beeinträchtigen. Es kann unterschiedliche Sicherheitsanforderungen geben, aufgrund derer Sie ein Konto voneinander isolieren müssen, sei es aufgrund mehrerer Teams oder eines unterschiedlichen Sicherheitsprofils.

  • Datenisolierung— Durch die Isolierung von Datenspeichern zu einem Konto wird die Anzahl der Personen begrenzt, die auf diesen Datenspeicher zugreifen und ihn verwalten können. Dies verhindert den Zugriff auf hochprivate Daten und trägt zur Einhaltung der Allgemeinen Datenschutzverordnung (DSGVO) bei.

  • Viele Teams— Verschiedene Teams haben unterschiedliche Verantwortlichkeiten und Ressourcenbedürfnisse. Sie sollten sich nicht gegenseitig auf demselben Konto überholen.

  • Geschäftsprozess— Verschiedene Geschäftsbereiche oder Produkte können unterschiedliche Zwecke und Prozesse haben. Sie sollten verschiedene Konten einrichten, um geschäftsspezifischen Anforderungen gerecht zu werden.

  • Abrechnung— Ein Konto ist die einzig wahre Möglichkeit, Posten auf Abrechnungsebene zu trennen, einschließlich Dingen wie Überweisungsgebühren. Mehrere Konten helfen dabei, Artikel auf Abrechnungsebene nach Geschäftsbereichen, Funktionsteams oder einzelnen Benutzern zu trennen.

  • Zuteilung begrenzen— Die Limits gelten pro Konto. Durch die Aufteilung von Workloads auf verschiedene Konten wird verhindert, dass sie Limits verbrauchen oder möglicherweise zu viele Ressourcen bereitstellen, sodass andere Anwendungen nicht wie vorgesehen funktionieren.