Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Blok bangunan SRA — AWS Organizations, akun, dan pagar pembatas
| Mempengaruhi masa depan AWS Security Reference Architecture (AWSSRA) dengan mengambil survei singkat |
Layanan keamanan AWS, kontrol, dan interaksinya paling baik digunakan berdasarkan strategi multi-akun AWS dan pagar pengaman identitas dan manajemen akses. Pagar pembatas ini menetapkan kemampuan untuk implementasi Anda dengan hak istimewa yang paling sedikit, pemisahan tugas, dan privasi, serta memberikan dukungan untuk keputusan tentang jenis kontrol apa yang diperlukan, di mana setiap layanan keamanan dikelola, dan bagaimana mereka dapat berbagi data dan izin di AWS SRA.
Akun AWS menyediakan batasan keamanan, akses, dan penagihan untuk sumber daya AWS Anda dan memungkinkan Anda mencapai independensi dan isolasi sumber daya. Penggunaan beberapa akun AWS memainkan peran penting dalam cara Anda memenuhi persyaratan keamanan, seperti yang dibahas di bagian Manfaat menggunakan beberapa akun AWS di whitepaper Mengatur Lingkungan AWS Anda Menggunakan Beberapa Akun. Misalnya, Anda dapat mengatur beban kerja Anda di akun terpisah dan akun grup dalam unit organisasi (OU) berdasarkan fungsi, persyaratan kepatuhan, atau serangkaian kontrol umum alih-alih mencerminkan struktur pelaporan perusahaan Anda. Ingatlah keamanan dan infrastruktur untuk memungkinkan perusahaan Anda menetapkan pagar pembatas umum seiring dengan bertambahnya beban kerja Anda. Pendekatan ini memberikan batasan dan kontrol yang kuat antara beban kerja. Pemisahan tingkat akun, dalam kombinasi dengan AWS Organizations, digunakan untuk mengisolasi lingkungan produksi dari lingkungan pengembangan dan pengujian, atau untuk memberikan batas logis yang kuat antara beban kerja yang memproses data dari klasifikasi yang berbeda seperti Payment Card Industry Data Security Standard (PCI DSS) atau Health Insurance Portability and Accountability Act (HIPAA). Meskipun Anda dapat memulai perjalanan AWS dengan satu akun, AWS menyarankan agar Anda menyiapkan beberapa akun karena beban kerja Anda bertambah besar dan kompleksitas.
Izin memungkinkan Anda menentukan akses ke sumber daya AWS. Izin diberikan kepada entitas IAM yang dikenal sebagai prinsipal (pengguna, grup, dan peran). Secara default, prinsipal dimulai tanpa izin. Entitas IAM tidak dapat melakukan apa pun di AWS hingga Anda memberi mereka izin, dan Anda dapat menyiapkan pagar pembatas yang berlaku secara luas seperti seluruh organisasi AWS Anda atau sehalus kombinasi individual dari prinsip, tindakan, sumber daya, dan kondisi.
