Best practice per la gestione delle unità organizzative (OUs) con AWS Organizations

Segui questi consigli per aiutarti a gestire un ambiente con più account in AWS Organizations utilizzo di unità organizzative (OUs).

Comprensione AWS Organizations

La base di un account multiplo ben progettato AWS l'ambiente è AWS Organizations, che consente di gestire e amministrare centralmente più account. Un'unità organizzativa (OU) è un raggruppamento logico di account in un'organizzazione. OUsconsentono di organizzare gli account in una gerarchia e di applicare i controlli di gestione. Le policy dell'organizzazione definiscono i controlli che è possibile applicare a un gruppo di Account AWS. Ad esempio, una policy di controllo del servizio (SCP) è una politica che definisce il Servizio AWS azioni, come Amazon EC2 Run Instance, che gli account della tua organizzazione possono eseguire.

Mentre potresti iniziare il tuo AWS viaggio con un solo account, AWS consiglia di configurare più account man mano che i carichi di lavoro aumentano in termini di dimensioni e complessità. L'utilizzo di un ambiente con più account è un AWS best practice che può offrire diversi vantaggi:

• Innovazione rapida con diversi requisiti: puoi allocare Account AWS a diversi team, progetti o prodotti all'interno dell'azienda per garantire che ciascuno di essi possa innovare rapidamente rispettando al contempo i propri requisiti di sicurezza.

• Fatturazione semplificata: utilizzo di più Account AWS può semplificare il modo in cui allocate i AWS costo aiutando a identificare quale prodotto o linea di servizi è responsabile di un AWS addebito.

• Controlli di sicurezza flessibili: puoi usarne più Account AWS per isolare carichi di lavoro o applicazioni che hanno requisiti di sicurezza specifici o che devono soddisfare rigide linee guida per la conformità, come HIPAA o. PCI

• Adattamento ai processi aziendali: è possibile organizzarne più di uno Account AWS in un modo che rispecchi al meglio le diverse esigenze dei processi aziendali della vostra azienda, che hanno requisiti operativi, normativi e di budget diversi.

Unità organizzativa di base consigliata () OUs

L'unità organizzativa (OUs) dovrebbe basarsi su una funzione o su un insieme comune di controlli anziché rispecchiare la struttura di rendicontazione dell'azienda. AWS consiglia di iniziare pensando alla sicurezza e all'infrastruttura. La maggior parte delle aziende dispone di team centralizzati che servono l'intera organizzazione per tali esigenze. Ti consigliamo di creare un set di funzionalità di base OUs per queste funzioni specifiche:

• Sicurezza: utilizzata per i servizi di sicurezza. Crea account per archivi di log, accesso di sicurezza in sola lettura, strumenti di sicurezza e break-glass.

• Infrastruttura: utilizzata per servizi di infrastruttura condivisi come servizi di rete e IT. Crea account per ogni tipo di servizio di infrastruttura richiesto.

Dato che la maggior parte delle aziende ha requisiti politici diversi per i carichi di lavoro di produzione, l'infrastruttura e la sicurezza avrebbero potuto concentrarsi OUs sulla non produzione (SDLC) e sulla produzione (Prod). Gli account dell'SDLCunità organizzativa ospitano carichi di lavoro non di produzione e non devono avere dipendenze di produzione da altri account. Se vi sono variazioni nelle politiche dell'unità organizzativa tra le fasi del ciclo di vita, SDLC possono essere suddivise in più fasi OUs (ad esempio, sviluppo e pre-produzione). Gli account nell'unità organizzativa Prod ospitano i carichi di lavoro di produzione.

Applica le politiche a livello di unità organizzativa per governare il prodotto e SDLC l'ambiente in base alle tue esigenze. In generale, l'applicazione delle politiche a livello di unità organizzativa è una pratica migliore rispetto a quella a livello di singolo account, in quanto semplifica la gestione delle politiche e qualsiasi potenziale risoluzione dei problemi.

Il diagramma seguente mostra gli elementi fondamentali OUs (Prod and) per la sicurezza e l'infrastruttura: SDLC

Unità organizzativa aggiuntiva consigliata () OUs

Una volta implementati i servizi centralizzati, ti consigliamo di crearne uno direttamente correlato alla creazione OUs o alla gestione dei tuoi prodotti o servizi. Molti AWS i clienti costruiscono quanto segue OUs dopo aver stabilito una base:

• Sandbox: contiene Account AWS che i singoli sviluppatori possono usare per sperimentare Servizi AWS. Assicurati che questi account possano essere scollegati dalle reti interne.

• Carichi di lavoro: contiene Account AWS che ospitano i servizi applicativi rivolti all'esterno. È necessario strutturare gli ambienti OUs Under SDLC and Prod (simili a quelli di baseOUs) in modo da isolare e controllare rigorosamente i carichi di lavoro di produzione.

Si consiglia inoltre di aggiungerne altri OUs per la manutenzione e l'espansione continua a seconda delle esigenze specifiche. Di seguito sono riportati alcuni temi comuni basati su pratiche esistenti AWS clienti:

• Allestimento delle politiche: sospeso AWS account in cui è possibile testare le modifiche alle politiche proposte prima di applicarle a livello generale all'organizzazione. Inizia implementando le modifiche a livello di account nell'unità organizzativa desiderata e, lentamenteOUs, applicale agli altri account e al resto dell'organizzazione.

• Sospeso: contiene Account AWS che sono stati chiusi e sono in attesa di essere eliminati dall'organizzazione. Allega SCP a questa unità organizzativa un messaggio che neghi tutte le azioni. Assicurati che gli account siano contrassegnati con i dettagli per la tracciabilità se devono essere ripristinati.

• Utenti aziendali individuali: un'unità organizzativa ad accesso limitato che contiene Account AWS per utenti aziendali (non sviluppatori) che potrebbero aver bisogno di creare applicazioni legate alla produttività aziendale, ad esempio configurare un bucket S3 per condividere report o file con un partner.

• Eccezioni: Holds Account AWS utilizzato per casi d'uso aziendali con requisiti di sicurezza o controllo altamente personalizzati, diversi da quelli definiti nell'unità organizzativa Workloads. Ad esempio, la configurazione di un Account AWS specificamente per una nuova applicazione o funzionalità riservata. SCPsUtilizzalo a livello di account per soddisfare esigenze personalizzate. Prendi in considerazione la possibilità di configurare un sistema Detect and React utilizzando Amazon EventBridge e AWS Config regole.

• Distribuzioni: contiene Account AWS pensato per l'integrazione continua e la consegna/implementazione continue (implementazioni CI/CD). È possibile creare questa unità organizzativa se si dispone di un modello operativo e di governance diverso per le implementazioni CI/CD rispetto agli account dei carichi di lavoro (Prod and). OUs SDLC La distribuzione di CI/CD aiuta a ridurre la dipendenza organizzativa da un ambiente CI/CD condiviso gestito da un team centrale. Per ogni set di /Prod SDLC Account AWS per un'applicazione nell'unità organizzativa Workloads, crea un account per CI/CD in Deployments OU.

• Transitorio: viene utilizzato come area di archiviazione temporanea per gli account e i carichi di lavoro esistenti prima di spostarli nelle aree standard dell'organizzazione. Ciò potrebbe essere dovuto al fatto che gli account fanno parte di un'acquisizione, precedentemente gestita da una terza parte, o gli account legacy di una vecchia struttura organizzativa.

Il diagramma seguente mostra ulteriori informazioni OUs relative a sandbox, carichi di lavoro, gestione temporanea delle policy, utenti aziendali individuali sospesi, eccezioni, implementazioni e account di transizione:

Conclusioni

Una strategia multi-account ben progettata può aiutarti a innovare in AWS, contribuendo al contempo a soddisfare le esigenze di sicurezza e scalabilità. Il framework descritto in questo argomento rappresenta AWS le migliori pratiche da utilizzare come punto di partenza per AWS viaggio.

Il diagramma seguente mostra le istruzioni di base OUs e quelle aggiuntive consigliate: OUs