Struktur akun khusus

Mempengaruhi masa depan AWS Security Reference Architecture (AWSSRA) dengan mengambil survei singkat

Akun AWS menyediakan batasan keamanan, akses, dan penagihan untuk sumber daya AWS Anda, dan memungkinkan Anda mencapai independensi dan isolasi sumber daya. Secara default, tidak ada akses yang diizinkan antar akun.

Saat merancang struktur OU dan akun Anda, mulailah dengan mempertimbangkan keamanan dan infrastruktur. Kami merekomendasikan untuk membuat satu set OU dasar untuk fungsi-fungsi spesifik ini, dibagi menjadi Infrastruktur dan Keamanan OU. Rekomendasi OU dan akun ini menangkap bagian dari pedoman kami yang lebih luas dan lebih komprehensif untuk AWS Organizations dan desain struktur multi-akun. Untuk serangkaian rekomendasi lengkap, lihat Mengatur Lingkungan AWS Anda Menggunakan Beberapa Akun dalam dokumentasi AWS dan posting blog Praktik Terbaik untuk Unit Organisasi dengan AWS Organizations.

AWS SRA menggunakan akun berikut untuk mencapai operasi keamanan yang efektif di AWS. Akun khusus ini membantu memastikan pemisahan tugas, mendukung kebijakan tata kelola dan akses yang berbeda untuk berbagai aplikasi dan data sensitif, dan membantu mengurangi dampak peristiwa keamanan. Dalam diskusi berikutnya, kami berfokus pada akun produksi (prod) dan beban kerja terkait. Akun siklus hidup pengembangan perangkat lunak (SDLC) (sering disebut akun dev dan pengujian) dimaksudkan untuk pementasan kiriman dan dapat beroperasi di bawah kebijakan keamanan yang berbeda yang ditetapkan dari akun produksi.

Akun	OU	Peran keamanan
Management	—	Tata kelola pusat dan pengelolaan semua Wilayah dan akun AWS. Akun AWS yang menghosting root organisasi AWS.
Perkakas Keamanan	Keamanan	Akun AWS khusus untuk mengoperasikan layanan keamanan yang berlaku secara luas (seperti Amazon GuardDuty, AWS Security Hub, AWS Audit Manager, Amazon Detective, Amazon Inspector, dan AWS Config), memantau akun AWS, serta mengotomatiskan peringatan dan respons keamanan. (Di AWS Control Tower, nama default untuk akun di bawah Security OU adalah akun Audit.)
Arsip Log	Keamanan	Akun AWS khusus untuk menelan dan mengarsipkan semua pencatatan dan pencadangan untuk semua Wilayah AWS dan akun AWS. Ini harus dirancang sebagai penyimpanan yang tidak dapat diubah.
Jaringan	Infrastruktur	Gateway antara aplikasi Anda dan internet yang lebih luas. Akun Jaringan mengisolasi layanan jaringan, konfigurasi, dan operasi yang lebih luas dari beban kerja aplikasi individual, keamanan, dan infrastruktur lainnya.
Layanan Bersama	Infrastruktur	Akun ini mendukung layanan yang digunakan beberapa aplikasi dan tim untuk memberikan hasil mereka. Contohnya termasuk layanan direktori Pusat Identitas (Direktori Aktif), layanan pesan, dan layanan metadata.
Aplikasi	Beban kerja	Akun AWS yang menghosting aplikasi organisasi AWS dan melakukan beban kerja. (Ini kadang-kadang disebut akun Beban Kerja.) Akun aplikasi harus dibuat untuk mengisolasi layanan perangkat lunak alih-alih dipetakan ke tim Anda. Ini membuat aplikasi yang digunakan lebih tahan terhadap perubahan organisasi.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Akun manajemen, akses tepercaya, dan administrator yang didelegasikan

Organisasi AWS dan struktur akun AWS SRA