Organisasi AWS dan struktur akun AWS SRA - AWS Bimbingan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Organisasi AWS dan struktur akun AWS SRA

Mempengaruhi masa depan AWS Security Reference Architecture (AWSSRA) dengan mengambil survei singkat.

Diagram berikut menangkap struktur tingkat tinggi AWS SRA tanpa menampilkan layanan tertentu. Ini mencerminkan struktur akun khusus yang dibahas di bagian sebelumnya, dan kami menyertakan diagram di sini untuk mengarahkan diskusi seputar komponen utama arsitektur:

  • Semua akun yang ditampilkan dalam diagram adalah bagian dari satu organisasi AWS.

  • Di kiri atas diagram adalah akun Manajemen Org, yang digunakan untuk membuat organisasi AWS.

  • Di bawah akun Manajemen Org adalah OU Keamanan dengan dua akun tertentu: satu untuk Alat Keamanan dan yang lainnya untuk Arsip Log.

  • Di sisi kanan adalah Infrastruktur OU dengan akun Jaringan dan akun Layanan Bersama.

  • Di bagian bawah diagram adalah Beban Kerja OU, yang dikaitkan dengan akun Aplikasi yang menampung aplikasi perusahaan.

Untuk panduan ini, semua akun dianggap sebagai akun produksi (prod) yang beroperasi di satu Wilayah AWS. Sebagian besar layanan AWS (kecuali untuk layanan global) dicakup secara regional, yang berarti bahwa bidang kontrol dan data untuk layanan ada secara independen di setiap Wilayah AWS. Untuk alasan ini, Anda harus mereplikasi arsitektur ini di semua Wilayah AWS yang akan Anda gunakan, untuk memastikan cakupan untuk seluruh lanskap AWS Anda. Jika Anda tidak memiliki beban kerja apa pun di Wilayah AWS tertentu, Anda harus menonaktifkan Wilayah dengan menggunakan SCP atau dengan menggunakan mekanisme pencatatan dan pemantauan. Anda dapat menggunakan AWS Security Hub untuk mengumpulkan temuan dan skor keamanan dari beberapa Wilayah AWS ke Wilayah agregasi tunggal untuk visibilitas terpusat.

Saat menghosting organisasi AWS dengan sejumlah besar akun, ada baiknya memiliki lapisan orkestrasi yang memfasilitasi penerapan akun dan tata kelola akun. AWS Control Tower menawarkan cara mudah untuk mengatur dan mengatur lingkungan multi-akun AWS. Contoh kode AWS SRA di GitHubrepositori menunjukkan bagaimana Anda dapat menggunakan solusi Kustomisasi untuk AWS Control Tower (CFCT) untuk menerapkan struktur yang direkomendasikan AWS SRA.

Struktur tingkat tinggi AWS SRA (tanpa layanan)