Structure de comptes dédiée

Influencez le futur de l'architecture de référence de AWS sécurité (AWSSRA) en répondant à une courte enquête.

Un compte AWS fournit des limites de sécurité, d'accès et de facturation pour vos ressources AWS, et vous permet de garantir l'indépendance et l'isolation des ressources. Par défaut, aucun accès n'est autorisé entre les comptes. 

Lorsque vous concevez votre unité d'organisation et votre structure de compte, commencez par penser à la sécurité et à l'infrastructure. Nous vous recommandons de créer un ensemble d'unités d'organisation de base pour ces fonctions spécifiques, réparties en unités d'organisation d'infrastructure et en unités d'organisation de sécurité. Ces recommandations relatives aux unités d'organisation et aux comptes constituent un sous-ensemble de nos directives plus générales et plus complètes relatives aux organisations AWS et à la conception de structures multicomptes. Pour un ensemble complet de recommandations, consultez Organizing Your AWS Environment Using Multiple Accounts dans la documentation AWS et dans le billet de blog Best Practices for Organizational Units with AWS Organizations. 

L'AWS SRA utilise les comptes suivants pour réaliser des opérations de sécurité efficaces sur AWS. Ces comptes dédiés permettent de garantir la séparation des tâches, de prendre en charge différentes politiques de gouvernance et d'accès pour différents types d'applications et de données sensibles, et d'atténuer l'impact d'un événement de sécurité. Dans les discussions qui suivent, nous nous concentrons sur les comptes de production (production) et leurs charges de travail associées. Les comptes du cycle de vie du développement logiciel (SDLC) (souvent appelés comptes de développement et de test) sont destinés à la préparation des livrables et peuvent fonctionner selon une politique de sécurité différente de celle des comptes de production.

 

Compte	UO	Rôle de sécurité
Gestion	—	Gouvernance et gestion centralisées de toutes les régions et de tous les comptes AWS. Le compte AWS qui héberge la racine de l'organisation AWS.
Outillage de sécurité	Sécurité	Des comptes AWS dédiés permettent de gérer des services de sécurité applicables à tous (tels qu'Amazon GuardDuty, AWS Security Hub, AWS Audit Manager, Amazon Detective, Amazon Inspector et AWS Config), de surveiller les comptes AWS et d'automatiser les alertes de sécurité et les réponses. (Dans AWS Control Tower, le nom par défaut du compte dans l'unité d'organisation de sécurité est Audit account.)
Archive du journal	Sécurité	Comptes AWS dédiés pour l'ingestion et l'archivage de tous les journaux et sauvegardes pour toutes les régions AWS et tous les comptes AWS. Cela doit être conçu comme un stockage immuable.
Réseau	Infrastructures	La passerelle entre votre application et l'Internet au sens large. Le compte réseau isole l'ensemble des services réseau, de la configuration et du fonctionnement des charges de travail, de la sécurité et des autres infrastructures des applications individuelles.
Services partagés	Infrastructures	Ce compte prend en charge les services utilisés par de nombreuses applications et équipes pour obtenir leurs résultats. Les exemples incluent les services d'annuaire Identity Center (Active Directory), les services de messagerie et les services de métadonnées.
Application	Charges de travail	Des comptes AWS qui hébergent les applications de l'organisation AWS et exécutent les charges de travail. (Ces comptes sont parfois appelés comptes de charge de travail.) Les comptes d'applications doivent être créés pour isoler les services logiciels au lieu d'être mappés à vos équipes. Cela rend l'application déployée plus résiliente face aux changements organisationnels.