Buat landing zone

Landing zone adalah AWS lingkungan multi-akun yang dirancang dengan baik yang merupakan titik awal dari mana Anda dapat menyebarkan beban kerja dan aplikasi. Ini memberikan dasar untuk memulai dengan arsitektur multi-akun, identitas dan manajemen akses, tata kelola, keamanan data, desain jaringan, dan logging. AWS Control Toweradalah layanan yang menyederhanakan pemeliharaan dan tata kelola lingkungan multi-akun dengan menyediakan pagar pembatas otomatis. Biasanya, Anda menyediakan satu AWS Control Tower landing zone yang mengelola lingkungan Anda di semua Wilayah AWS. AWS Control Tower bekerja dengan mengatur orang lain Layanan AWS dalam akun Anda. Untuk informasi selengkapnya, lihat Apa yang terjadi saat Anda menyiapkan landing zone (AWS Control Tower dokumentasi).

Saat menyiapkan landing zone AWS Control Tower, Anda mengidentifikasi tiga akun bersama: akun manajemen, akun arsip log, dan akun audit. Untuk informasi selengkapnya, lihat Apa itu akun bersama (AWS Control Tower dokumentasi). Untuk akun manajemen, Anda harus menggunakan akun yang sudah ada yang tidak menghosting beban kerja apa pun untuk mengatur landing zone. Untuk arsip log dan akun audit, Anda dapat memilih untuk menggunakan kembali yang sudah ada Akun AWS, atau AWS Control Tower dapat membuatnya untuk Anda.

Untuk petunjuk tentang cara mengatur AWS Control Tower landing zone, lihat Memulai (AWS Control Tower dokumentasi).

Praktik terbaik

• Patuhi praktik terbaik dalam prinsip-prinsip Desain untuk strategi multi-akun Anda (AWS Whitepaper).

• Patuhi Praktik terbaik untuk AWS Control Tower administrator (AWS Control Tower dokumentasi).

• Buat landing zone Anda di tempat Wilayah AWS yang menampung sebagian besar beban kerja Anda.

  penting

  Jika Anda memutuskan untuk mengubah Wilayah ini setelah menerapkan landing zone Anda, Anda memerlukan bantuan AWS Support, dan Anda harus menonaktifkan landing zone. Praktek ini tidak dianjurkan.

• Saat menentukan Wilayah mana yang AWS Control Tower akan diatur, pilih hanya Wilayah yang Anda harapkan untuk segera menerapkan beban kerja. Anda dapat mengubah Wilayah ini atau menambahkan lebih banyak lagi nanti. Jika AWS Control Tower memerintah suatu Wilayah, ia akan mengerahkan pagar pembatas detektifnya ke Wilayah itu sebagai. Aturan AWS Config

• Setelah menentukan Wilayah mana yang AWS Control Tower akan memerintah, tolak akses ke semua Wilayah yang tidak diatur. Ini membantu memastikan bahwa beban kerja dan pengembang Anda hanya dapat menggunakan disetujui Wilayah AWS. Ini diimplementasikan sebagai kebijakan kontrol layanan (SCP) dalam organisasi. Untuk informasi selengkapnya, lihat Wilayah AWS Mengonfigurasi kontrol penolakan (AWS Control Tower dokumentasi).

• Saat menyiapkan landing zone di AWS Control Tower, kami sarankan Anda mengganti nama berikut OUs dan akun:

  • Kami menyarankan Anda mengganti nama Security OU menjadi Security_Prod untuk menandakan bahwa OU ini akan digunakan untuk keamanan produksi terkait. Akun AWS

  • Kami menyarankan Anda mengizinkan AWS Control Tower untuk membuat OU tambahan dan kemudian mengganti namanya dari Sandbox ke Workloads. Di bagian berikutnya, Anda membuat tambahan OUs dalam Workloads OU, yang Anda gunakan untuk mengatur Anda Akun AWS.

  • Kami menyarankan Anda mengganti nama logging terpusat Akun AWS dari Log Archive menjadi. log-archive-prod

  • Kami menyarankan Anda mengganti nama akun audit dari Audit menjadi security-tooling-prod.

• Untuk membantu mencegah penipuan, AWS diperlukan yang Akun AWS memiliki riwayat penggunaan sebelum dapat ditambahkan ke AWS Control Tower landing zone. Jika Anda menggunakan yang baru Akun AWS tanpa riwayat penggunaan apa pun, di akun baru, Anda dapat meluncurkan instans Amazon Elastic Compute Cloud (AmazonEC2) yang tidak ada di Tingkat AWS Gratis. Biarkan instance berjalan selama beberapa menit dan kemudian hentikan.