Organisation AWS et structure de compte de l'AWS SRA - AWS Conseils prescriptifs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Organisation AWS et structure de compte de l'AWS SRA

Influencez le futur de l'architecture de référence de AWS sécurité (AWSSRA) en répondant à une courte enquête.

Le schéma suivant illustre la structure de haut niveau de l'AWS SRA sans afficher de services spécifiques. Il reflète la structure de comptes dédiés décrite dans la section précédente, et nous incluons le schéma ici pour orienter la discussion autour des principaux composants de l'architecture :

  • Tous les comptes présentés dans le schéma font partie d'une seule organisation AWS.

  • En haut à gauche du diagramme se trouve le compte Org Management, qui est utilisé pour créer l'organisation AWS.

  • Sous le compte Org Management se trouve l'unité d'organisation de sécurité avec deux comptes spécifiques : l'un pour Security Tooling et l'autre pour Log Archive.

  • Sur le côté droit se trouve l'unité d'organisation d'infrastructure avec le compte réseau et le compte Shared Services.

  • Au bas du diagramme se trouve l'unité d'organisation Workloads, qui est associée à un compte d'application hébergeant l'application d'entreprise.

Pour ce guide, tous les comptes sont considérés comme des comptes de production (prod) qui fonctionnent dans une seule région AWS. La plupart des services AWS (à l'exception des services internationaux) ont une portée régionale, ce qui signifie que les plans de contrôle et de données du service existent indépendamment dans chaque région AWS. Pour cette raison, vous devez répliquer cette architecture dans toutes les régions AWS que vous prévoyez d'utiliser, afin de garantir la couverture de l'ensemble de votre environnement AWS. Si vous n'avez aucune charge de travail dans une région AWS spécifique, vous devez désactiver la région en utilisant des SCP ou en utilisant des mécanismes de journalisation et de surveillance. Vous pouvez utiliser AWS Security Hub pour agréger les résultats et les scores de sécurité de plusieurs régions AWS dans une seule région d'agrégation afin d'obtenir une visibilité centralisée.

Lorsque vous hébergez une organisation AWS avec un grand nombre de comptes, il est avantageux de disposer d'une couche d'orchestration qui facilite le déploiement et la gouvernance des comptes. AWS Control Tower offre un moyen simple de configurer et de gérer un environnement multi-comptes AWS. Les exemples de code AWS SRA contenus dans le GitHubréférentiel montrent comment utiliser la solution Customizations for AWS Control Tower (CfCT) pour déployer les structures recommandées par AWS SRA.

Structure de haut niveau de l'AWS SRA (sans services)