Membangun landing zone - AWS Bimbingan Preskriptif
AWS Control TowerLanding zone yang dibuat khususPendekatan yang direkomendasikan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membangun landing zone

Anda memiliki beberapa opsi untuk membuat landing zone Anda aktif AWS. Anda dapat memilih layanan terkelola untuk mengatur lingkungan Anda atau bekerja dengan mitra untuk membangun sendiri. AWS penawaran AWS Control Tower, layanan terkelola. Kami menyarankan agar semua pengguna memulai dengan AWS Control Tower. Namun, penting untuk memahami perbedaan dan kemampuan setiap pendekatan sehingga Anda dapat membuat keputusan terbaik untuk organisasi Anda.

Opsi untuk zona pendaratan di AWS:

  • AWS Control Tower

  • Landing zone yang dibuat khusus

Mekanisme pengiriman:

Perbedaan antara AWS Control Tower dan landing zone yang disesuaikan.

Manfaat dan trade-off untuk setiap pendekatan:

Solusi Manfaat Trade-off

AWS Control Tower

  • Layanan yang dikelola sepenuhnya.

  • AWS Kontrol yang disediakan dan kebijakan kepatuhan diterapkan secara default.

  • Menyediakan dasbor pusat untuk pemantauan dan status kepatuhan.

  • Menyediakan Account Factory untuk menyediakan akun baru.

  • Beberapa penyesuaian (seperti pemilihan Wilayah dan kontrol opsional) tersedia di konsol.

AWS Organizationsdengan solusi kustom yang dibuat oleh pelanggan atau mitra

  • Solusi yang dibuat khusus.

  • Pelanggan atau mitra memiliki semua pengembangan dan pengkodean.

  • Pelanggan atau mitra bertanggung jawab atas integrasi dan implementasi.

Semua penawaran lingkungan multi-akun didukung oleh. AWS Organizations AWS Organizations menyediakan infrastruktur dan kemampuan yang mendasari bagi Anda untuk membangun dan mengelola AWS lingkungan Anda. Dengan AWS Organizations, Anda dapat mengambil panduan strategi multi-akun yang disediakan oleh AWS dan menyesuaikan lingkungan Anda sendiri agar sesuai dengan kebutuhan bisnis Anda. Jika Anda adalah pelanggan yang sudah ada dan Anda senang dengan AWS Organizations implementasi Anda saat ini, Anda harus terus mengoperasikan AWS lingkungan Anda saat ini.

AWS Control Tower

AWS Control Tower berjalan sebagai layanan AWS terkelola. Saat Anda mencari solusi lingkungan pra-paket di luar kotak, Anda dapat menggunakannya AWS Control Tower untuk panduan preskriptif dan lingkungan yang dikelola sepenuhnya. Layanan ini menetapkan landing zone berdasarkan praktik terbaik multi-akun, memusatkan identitas dan manajemen akses, dan menetapkan aturan tata kelola yang telah dikonfigurasi sebelumnya untuk keamanan dan kepatuhan.

AWS layanan termasuk dalam AWS Control Tower pengaturan.

AWS Control Tower mengotomatiskan pengaturan landing zone baru dengan menggunakan praktik terbaik, cetak biru untuk identitas, akses federasi, dan struktur akun. Beberapa cetak biru yang diterapkan meliputi: AWS Control Tower

  • Lingkungan multi-akun menggunakan AWS Organizations

  • Audit keamanan lintas akun menggunakan AWS Identity and Access Management () IAM dan AWS IAM Identity Center

  • Manajemen identitas menggunakan direktori default Pusat Identitas

  • Pencatatan terpusat dari AWS CloudTrail, dan AWS Config disimpan di Amazon Simple Storage Service (Amazon S3)

Kontrol adalah aturan tingkat tinggi yang menyediakan tata kelola berkelanjutan untuk lingkungan Anda secara keseluruhan AWS . Kontrol dapat bersifat preventif atau detektif. Kontrol preventif diimplementasikan dengan menggunakan kebijakan kontrol layanan (SCPs), yang merupakan bagian dari AWS Organizations. Kontrol Detektif diimplementasikan dengan menggunakan. AWS Config Contoh AWS Control Tower kontrol meliputi:

  • Larang pembuatan kunci akses untuk pengguna root

  • Larang koneksi internet melalui RDP

  • Larang akses tulis publik ke bucket S3

  • Larang volume Amazon Elastic Block Store (AmazonEBS) yang tidak terhubung ke instans Amazon Elastic Compute Cloud (Amazon) EC2

catatan

AWS Control Tower adalah titik awal untuk landing zone. Anda perlu menentukan strategi Anda untuk jaringan, manajemen akses, dan keamanan berdasarkan persyaratan unik Anda saat Anda membangun landing zone Anda.

Landing zone yang dibuat khusus

Anda dapat memilih untuk membangun solusi landing zone khusus Anda sendiri. Dalam hal ini, Anda menerapkan lingkungan dasar untuk memulai manajemen identitas dan akses, tata kelola, keamanan data, desain jaringan, dan pencatatan. Kami merekomendasikan pendekatan ini jika Anda ingin membangun semua komponen lingkungan Anda dari awal, atau jika Anda memiliki persyaratan yang hanya dapat didukung oleh solusi khusus. Anda harus memiliki keahlian yang cukup dalam AWS mengelola, meningkatkan, memelihara, dan mengoperasikan solusi setelah diterapkan.

Kami menyarankan Anda memulai dengan AWS Control Tower membangun landing zone Anda. AWS Control Tower membantu Anda membangun konfigurasi landing zone preskriptif awal, menggunakan out-of-the-box kontrol dan cetak biru, dan membuat akun baru dengan menggunakan Account Factory.AWS Control Tower

Selama penyiapan, Anda dapat menyesuaikan landing zone dari AWS Control Tower konsol. Untuk detailnya, lihat AWS Control Tower dokumentasi. Setelah Anda mengatur landing zone dasar Anda, gunakan salah satu opsi ini untuk menyempurnakan dan menyesuaikannya lebih lanjut:

  • Gunakan Kustomisasi untuk AWS Control Tower (CFCT), yang menyediakan opsi penyesuaian ekstensif melalui AWS CloudFormation templat dan kebijakan kontrol layanan (). SCPs Untuk informasi lebih lanjut, lihat dokumentasi AWS Control Tower.

  • Gunakan Landing Zone Accelerator (LZA) untuk menyempurnakan landing zone agar selaras dengan framework kepatuhan. Untuk informasi selengkapnya, lihat panduan LZA implementasi.