AWSstratégie multi-comptes pour votre landing zone AWS Control Tower - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWSstratégie multi-comptes pour votre landing zone AWS Control Tower

Les clients d'AWS Control Tower recherchent souvent des conseils sur la façon de configurer leurAWSenvironnement et garantit les meilleurs résultats.AWSa créé un ensemble unifié de recommandations, appeléstratégie de plusieurs comptes, afin de vous aider à tirer le meilleur parti de votreAWSressources, y compris votre landing zone AWS Control Tower

Pour l'essentiel, AWS Control Tower agit comme une couche d'orchestration qui fonctionne avec d'autresAWSservices, qui vous aident à mettre en œuvre leAWSrecommandations de plusieurs comptes relatives à.AWScomptes etAWS Organizations. Une fois votre landing zone configurée, AWS Control Tower continue de vous aider à maintenir vos politiques d'entreprise et vos pratiques de sécurité sur plusieurs comptes et charges de travail.

La plupart des zones d'atterrissage évoluent avec le temps. À mesure que le nombre d'unités organisationnelles (UO) et de comptes dans votre landing zone AWS Control Tower augmente, vous pouvez étendre votre déploiement AWS Control Tower de manière à organiser efficacement vos charges de travail. Ce chapitre fournit des conseils prescriptifs sur la façon de planifier et de configurer votre landing zone AWS Control Tower, conformément à laAWSstratégie multi-comptes, et étendez-la au fil du temps.

Pour une discussion générale sur les meilleures pratiques pour les unités organisationnelles, voirBonnes pratiques relatives à des unités d'organisation avecAWS Organizations.

AWSstratégie de plusieurs comptes : Bonnes pratiques

AWSles meilleures pratiques pour un environnement bien conçu recommandent de séparer vos ressources et charges de travail en plusieursAWScomptes. Vous pouvez penser àAWScomptes en tant que conteneurs de ressources isolés : ils offrent une catégorisation des charges de travail, ainsi qu'une réduction du rayon d'explosion lorsque les choses tournent mal.

Définition d'unAWScompte

UnAWScompte agit comme un conteneur de ressources et une limite d'isolation des ressources.

Note

UnAWScompte n'est pas le même qu'un compte d'utilisateur, qui est configuré via Federation ouAWS Identity and Access Management(IAM).

En savoir plus surAWScomptes

UnAWSpermet d'isoler les ressources et de contenir les menaces de sécurité pour votreAWSCharges de travail. Un compte fournit également un mécanisme de facturation et de gouvernance d'un environnement de charge de travail.

LeAWSest le principal mécanisme de mise en œuvre permettant de fournir un conteneur de ressources pour vos charges de travail. Si votre environnement est bien conçu, vous pouvez gérer plusieursAWSde manière efficace, et donc de gérer plusieurs charges de travail et environnements.

AWS Control Tower met en place un environnement bien conçu. Elle s'appuie surAWScomptes, ainsi queAWS Organizations, qui permettent de régir les modifications de votre environnement qui peuvent s'étendre à plusieurs comptes.

Définition d'un environnement bien conçu

AWSdéfinit un environnement bien conçu comme un environnement qui commence par une landing zone.

AWS Control Tower propose une landing zone configurée automatiquement. Il met en place des garde-fous pour garantir la conformité aux directives de votre entreprise, sur plusieurs comptes de votre environnement.

Définition d'une landing zone

La landing zone est un environnement cloud qui propose un point de départ recommandé, y compris les comptes par défaut, la structure des comptes, la disposition du réseau et de la sécurité, etc. À partir d'une landing zone, vous pouvez déployer des charges de travail qui utilisent vos solutions et applications.

Directives pour mettre en place un environnement bien conçu

Les trois composants clés d'un environnement bien conçu, expliqués dans les sections suivantes, sont les suivants :

  • PlusieursAWScomptes

  • De plusieurs unités d'organisation (UO)

  • Une structure bien planifiée

Utilisation de plusieurs comptes AWS

Un seul compte ne suffit pas pour mettre en place un environnement bien conçu. En utilisant plusieurs comptes, vous pouvez mieux prendre en charge vos objectifs de sécurité et vos processus métier. Voici quelques avantages liés à l'utilisation d'une approche multi-comptes :

  • Contrôles de sécurité— Les applications ont des profils de sécurité différents, elles nécessitent donc des politiques et des mécanismes de contrôle différents. Par exemple, il est beaucoup plus facile de parler à un auditeur et de pointer du doigt un seul compte hébergeant la charge de travail du secteur des cartes de paiement (PCI).

  • Isolement— Un compte est une unité de protection de sécurité. Les risques potentiels et les menaces de sécurité peuvent être contenus dans un compte sans affecter les autres. Par conséquent, les besoins de sécurité peuvent vous obliger à isoler les comptes les uns des autres. Par exemple, vous pouvez avoir des équipes avec des profils de sécurité différents.

  • De nombreuses équipes— Les équipes ont des responsabilités et des besoins en ressources différents. En configurant plusieurs comptes, les équipes ne peuvent pas interférer les unes avec les autres, comme c'est le cas lorsqu'elles utilisent le même compte.

  • Isolement des données— L'isolation des magasins de données d'un compte permet de limiter le nombre de personnes ayant accès aux données et de gérer le magasin de données. Cette isolation permet d'éviter l'exposition non autorisée de données hautement privées. Par exemple, l'isolation des données contribue à la conformité au Règlement général sur la protection des données (RGPD).

  • Processus métier— Les unités commerciales ou les produits ont souvent des objectifs et des processus complètement différents. Des comptes individuels peuvent être créés pour répondre aux besoins spécifiques de l'entreprise.

  • Facturation— Un compte est le seul moyen de séparer les éléments au niveau de la facturation, y compris les frais de transfert, etc. La stratégie multi-comptes permet de créer des articles facturables distincts entre les unités commerciales, les équipes fonctionnelles ou les utilisateurs individuels.

  • Allocation de quotas–AWSles quotas sont définis par compte. La séparation des charges de travail en différents comptes donne à chaque compte (tel qu'un projet) un quota individuel bien défini.

Utiliser plusieurs unités organisationnelles

AWS Control Tower et d'autres structures d'orchestration de comptes peuvent apporter des modifications qui dépassent les limites des comptes. Par conséquent, leAWSles meilleures pratiques concernent les modifications entre comptes, qui peuvent potentiellement briser un environnement ou compromettre sa sécurité. Dans certains cas, les changements peuvent affecter l'environnement global, au-delà des politiques. Par conséquent, nous vous recommandons de configurer au moins deux comptes obligatoires, Production et Mise en scène.

En outre,AWSles comptes sont souvent regroupés en unités organisationnelles (UO), à des fins de gouvernance et de contrôle. Les unités d'organisation sont conçues pour gérer l'application des politiques sur plusieurs comptes.

Nous vous recommandons de créer au minimum un environnement de pré-production (ou de mise en scène) distinct de votre environnement de production, avec des garde-fous et des politiques distincts. Les environnements de production et de mise en scène peuvent être créés et régis en tant qu'unités d'organisation distinctes, et facturés en tant que comptes distincts. En outre, vous souhaiterez probablement configurer une UO sandbox pour tester le code.

Utilisez une structure bien planifiée pour les unités d'organisation de votre landing zone

AWS Control Tower configure automatiquement certaines unités d'organisation pour vous. À mesure que vos charges de travail et vos exigences augmentent au fil du temps, vous pouvez étendre la configuration initiale de la landing zone en fonction de vos besoins.

Note

Les noms donnés dans les exemples suivent les suggestionsAWSconventions de dénomination pour la configuration d'un compte multipleAWSEnvironment. Vous pouvez renommer vos unités d'organisation après avoir configuré votre landing zone, en sélectionnantModifiersur la page détaillée de l'unité d'organisation.

Recommandations

Une fois qu'AWS Control Tower a configuré la première unité d'organisation requise pour vous, l'unité d'organisation de sécurité, nous vous recommandons de créer des unités d'organisation supplémentaires dans votre landing zone.

Nous vous recommandons d'autoriser AWS Control Tower à créer au moins une unité d'organisation supplémentaire, appelée unité d'organisation Sandbox. Cette unité d'organisation est destinée à vos environnements de développement logiciel. AWS Control Tower peut configurer l'unité d'organisation Sandbox pour vous lors de la création de la landing zone, si vous la sélectionnez.

Deux autres unités d'organisation recommandées que vous pouvez configurer vous-même : l'UO Infrastructure, pour contenir vos services partagés et vos comptes réseau, et une UO pour contenir vos charges de travail de production, appelée UO Workloads. Vous pouvez ajouter d'autres unités d'organisation dans votre landing zone via la console AWS Control Tower surUnités d'organisation.

UO recommandées en plus de celles configurées automatiquement

  • UO d'infrastructure— Contient vos services partagés et vos comptes réseau.

    Note

    AWS Control Tower ne configure pas l'unité d'organisation d'infrastructure pour vous.

  • Environnement de test sandbox— Une unité d'organisation de développement logiciel. Par exemple, il peut avoir une limite de dépenses fixe ou ne pas être connecté au réseau de production.

    Note

    AWS Control Tower vous recommande de configurer l'unité d'organisation Sandbox, mais elle est facultative. Il peut être configuré automatiquement dans le cadre de la configuration de votre landing zone.

  • Charges de travail une: contient les comptes qui exécutent vos charges de travail.

    Note

    AWS Control Tower ne configure pas l'unité d'organisation Workloads pour vous.

Exemple d'AWS Control Tower avec une structure d'unité d'organisation multi-comptes complète

AWS Control Tower prend en charge une hiérarchie d'unités d'organisation imbriquées, ce qui signifie que vous pouvez créer une structure d'unité d'organisation hiérarchique qui répond aux exigences de votre organisation. Vous pouvez créer un environnement AWS Control Tower qui corresponde à laAWSConseils de stratégie de plusieurs comptes.

Vous pouvez également créer une structure d'unité d'organisation plus simple et plate qui fonctionne bien et qui s'aligne sur laAWSConseils de plusieurs comptes. Ce n'est pas parce que vous pouvez créer une structure d'unité d'organisation hiérarchique que vous devez le faire.

Le diagramme de la page liée montre que davantage d'unités d'organisation fondamentales et d'autres unités d'organisation supplémentaires ont été créées. Ces unités d'organisation répondent aux besoins supplémentaires d'un déploiement plus important.

Dans la colonne des unités d'organisation fondamentales, deux unités d'organisation ont été ajoutées à la structure de base :

  • OU Security_Prod— Fournit une zone en lecture seule pour les politiques de sécurité, ainsi qu'une zone d'audit de sécurité brisée.

  • UO d'infrastructure— Vous pouvez séparer l'unité d'organisation Infrastructure, recommandée précédemment, en deux unités d'organisation, Infrastructure_Test (pour l'infrastructure de pré-production) et Infrastructure_Prod (pour l'infrastructure de production).

Dans la zone des unités d'organisation supplémentaires, plusieurs autres unités d'organisation ont été ajoutées à la structure de base. Voici les prochaines unités d'organisation recommandées à créer au fur et à mesure de la croissance de votre environnement :

  • Charges de travail une— L'unité d'organisation Workloads, recommandée précédemment mais facultative, a été séparée en deux unités d'organisation, Workloads_Test (pour les charges de travail de pré-production) et Workloads_Prod (pour les charges de travail de production).

  • PolicyStaging OU: permet aux administrateurs système de tester leurs modifications apportées aux garde-corps et aux stratégies avant de les appliquer pleinement.

  • Une UO suspendue— Offre un emplacement pour les comptes qui ont peut-être été temporairement désactivés.

À propos de la racine

La racine n'est pas une unité d'organisation. Il s'agit d'un conteneur pour le compte de gestion, ainsi que pour toutes les unités d'organisation et tous les comptes de votre organisation. Conceptuellement, la racine contient toutes les unités d'organisation. Il ne peut pas être supprimé. Vous ne pouvez pas régir les comptes inscrits au niveau racine dans AWS Control Tower. Réglez plutôt les comptes inscrits au sein de vos unités d'organisation. Pour obtenir un diagramme utile, consultezleAWS Organizationsdocumentation.