Apa itu landing zone? - AWS Bimbingan Preskriptif
Kerangka kerja multi-akun

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Apa itu landing zone?

Landing zone adalah AWS lingkungan multi-akun yang dirancang dengan baik yang dapat diskalakan dan aman. Ini adalah titik awal dari mana organisasi Anda dapat dengan cepat meluncurkan dan menyebarkan beban kerja dan aplikasi dengan percaya diri pada lingkungan keamanan dan infrastruktur Anda. Membangun landing zone melibatkan keputusan teknis dan bisnis yang harus dibuat di seluruh struktur akun, jaringan, keamanan, dan manajemen akses sesuai dengan pertumbuhan organisasi Anda dan tujuan bisnis untuk masa depan.

Ketika Anda mulai menggunakan dalam AWS skala besar, Anda dapat mencari panduan preskriptif dan pendekatan untuk membangun lingkungan Anda. AWS AWS praktik terbaik di area ini berpusat di sekitar kebutuhan untuk mengisolasi sumber daya dan beban kerja ke dalam beberapa AWS akun (wadah sumber daya) untuk isolasi dan ruang lingkup pengurangan dampak. Bagian selanjutnya menjelaskan mengapa Anda ingin menggunakan beberapa akun.

Kerangka kerja multi-akun

Meskipun tidak ada jumlah AWS akun standar yang harus Anda miliki, kami sarankan Anda membuat lebih dari satu AWS akun. Beberapa akun menyediakan tingkat sumber daya dan isolasi keamanan tertinggi. Pertimbangkan untuk membuat AWS akun tambahan jika Anda menjawab ya untuk salah satu pertanyaan berikut:

  • Apakah bisnis Anda memerlukan isolasi administratif antara beban kerja?

  • Apakah bisnis Anda memerlukan visibilitas terbatas dan kemampuan menemukan beban kerja?

  • Apakah bisnis Anda memerlukan isolasi untuk meminimalkan ruang lingkup dampak?

  • Apakah bisnis Anda memerlukan isolasi data pemulihan atau audit yang kuat?

Berikut adalah alasan lain mengapa satu akun mungkin tidak cukup:

  • Kontrol keamanan — Aplikasi yang berbeda mungkin memiliki profil keamanan yang berbeda yang memerlukan kebijakan dan mekanisme kontrol yang berbeda. Misalnya, lebih mudah untuk berbicara dengan auditor dan menunjuk ke satu akun yang menampung beban kerja Industri Kartu Pembayaran (PCI) Anda.

  • Isolasi — Akun adalah unit perlindungan keamanan. Potensi risiko dan ancaman keamanan harus terkandung dalam akun tanpa mempengaruhi akun lain. Kebutuhan keamanan yang berbeda mungkin mengharuskan Anda untuk mengisolasi satu akun dari yang lain karena beberapa tim atau profil keamanan yang berbeda.

  • Isolasi data — Mengisolasi penyimpanan data ke akun membatasi jumlah orang yang dapat mengakses dan mengelola penyimpanan data tersebut. Ini membatasi paparan data yang sangat pribadi dan membantu kepatuhan Peraturan Perlindungan Data Umum (GDPR).

  • Banyak tim — Tim yang berbeda memiliki tanggung jawab dan kebutuhan sumber daya yang berbeda. Mereka seharusnya tidak menghalangi satu sama lain dalam akun yang sama.

  • Proses bisnis — Unit bisnis atau produk yang berbeda mungkin memiliki tujuan dan proses yang berbeda. Anda harus membuat akun yang berbeda untuk melayani kebutuhan khusus bisnis.

  • Penagihan — Akun adalah satu-satunya cara yang benar untuk memisahkan item pada tingkat penagihan, termasuk memisahkan biaya transfer. Beberapa akun membantu memisahkan item pada tingkat penagihan di seluruh unit bisnis, tim fungsional, atau pengguna individu.

  • Batasi alokasi — Batas adalah per akun. Memisahkan beban kerja ke dalam akun yang berbeda mencegah mereka mengkonsumsi batas atau sumber daya yang berpotensi berlebihan dan kemudian mencegah aplikasi lain bekerja sebagaimana dimaksud.