Procedure ottimali per la gestione delle unità organizzative (OUs) con AWS Organizations

Segui questi consigli per aiutarti a gestire un ambiente con più account AWS Organizations utilizzando le unità organizzative (OUs).

Comprensione AWS Organizations

La base di un AWS ambiente multi-account ben progettato è AWS Organizations che consente di gestire e governare centralmente più account. Un'unità organizzativa (OU) è un raggruppamento logico di account in un'organizzazione. OUs consentono di organizzare gli account in una gerarchia e di applicare i controlli di gestione. Le policy di Organizations definiscono i controlli che è possibile applicare a un gruppo di Account AWS. Ad esempio, una policy di controllo dei servizi (SCP) è una policy che definisce le Servizio AWS azioni, come Amazon EC2 Run Instance, che gli account dell'organizzazione possono eseguire.

Anche se potresti iniziare il tuo AWS percorso con un solo account, ti AWS consiglia di configurare più account man mano che i carichi di lavoro aumentano in termini di dimensioni e complessità. L'utilizzo di un ambiente con più account è una AWS best practice che può offrire diversi vantaggi:

• Innovazione rapida con requisiti diversi: è possibile assegnarli Account AWS a diversi team, progetti o prodotti all'interno dell'azienda per garantire che ciascuno di essi possa innovare rapidamente, rispettando al contempo i propri requisiti di sicurezza.

• Fatturazione semplificata: l'utilizzo di più Account AWS opzioni può semplificare l'allocazione dei AWS costi, aiutando a identificare il prodotto o la linea di servizi responsabile di un addebito. AWS

• Controlli di sicurezza flessibili: puoi utilizzarne più di uno Account AWS per isolare carichi di lavoro o applicazioni che hanno requisiti di sicurezza specifici o che devono soddisfare rigide linee guida per la conformità, come HIPAA o PCI.

• Adattamento ai processi aziendali: è possibile organizzarne più di uno Account AWS in un modo che rifletta al meglio le diverse esigenze dei processi aziendali dell'azienda, che hanno requisiti operativi, normativi e di budget diversi.

Unità organizzativa di base consigliata () OUs

L'unità organizzativa (OUs) dovrebbe basarsi su una funzione o su un insieme comune di controlli anziché rispecchiare la struttura di rendicontazione della società. AWS consiglia di iniziare pensando alla sicurezza e all'infrastruttura. La maggior parte delle aziende dispone di team centralizzati che servono l'intera organizzazione per tali esigenze. Ti consigliamo di creare un set di funzionalità di base OUs per queste funzioni specifiche:

• Sicurezza: utilizzata per i servizi di sicurezza. Crea account per archivi di log, accesso di sicurezza in sola lettura, strumenti di sicurezza e break-glass.

• Infrastruttura: utilizzata per servizi di infrastruttura condivisi come servizi di rete e IT. Crea account per ogni tipo di servizio di infrastruttura richiesto.

Dato che la maggior parte delle aziende ha requisiti politici diversi per i carichi di lavoro di produzione, l'infrastruttura e la sicurezza avrebbero potuto concentrarsi sulla OUs non produzione (SDLC) e sulla produzione (Prod). Gli account dell'unità organizzativa SDLC ospitano carichi di lavoro non di produzione e non devono avere dipendenze di produzione da altri account. In caso di variazioni nelle politiche dell'unità organizzativa tra le fasi del ciclo di vita, SDLC può essere suddiviso in più parti OUs (ad esempio, sviluppo e pre-produzione). Gli account nell'unità organizzativa Prod ospitano i carichi di lavoro di produzione.

Applica le politiche a livello di unità organizzativa per governare l'ambiente Prod e SDLC in base alle tue esigenze. In generale, l'applicazione delle policy a livello di unità organizzativa è una pratica migliore rispetto a quella a livello di singolo account, in quanto semplifica la gestione delle policy e qualsiasi potenziale risoluzione dei problemi.

Il diagramma seguente mostra gli elementi fondamentali OUs (Prod e SDLC) per la sicurezza e l'infrastruttura:

Unità organizzativa aggiuntiva consigliata () OUs

Una volta implementati i servizi centralizzati, ti consigliamo di crearne uno direttamente correlato alla creazione OUs o alla gestione dei tuoi prodotti o servizi. Molti AWS clienti costruiscono quanto segue OUs dopo aver creato una base:

• Sandbox: supporto Account AWS che i singoli sviluppatori possono utilizzare per sperimentare Servizi AWS. Assicurati che questi account possano essere scollegati dalle reti interne.

• Carichi di lavoro: contiene Account AWS che ospitano i servizi applicativi rivolti all'esterno. È necessario strutturarsi OUs in ambienti SDLC e Prod (simili a quelli di base OUs) per isolare e controllare rigorosamente i carichi di lavoro di produzione.

Consigliamo inoltre di aggiungerne altri OUs per la manutenzione e l'espansione continua a seconda delle esigenze specifiche. Di seguito sono riportati alcuni temi comuni basati sulle pratiche dei AWS clienti esistenti:

• Staging delle politiche: conserva AWS account in cui è possibile testare le modifiche alle politiche proposte prima di applicarle a livello generale all'organizzazione. Inizia implementando le modifiche a livello di account nell'unità organizzativa desiderata e applicale lentamente agli altri account e al resto dell'organizzazione. OUs

• Sospesi: contenuti Account AWS che sono stati chiusi e che sono in attesa di essere eliminati dall'organizzazione. Allega un SCP a questa unità organizzativa che nega tutte le azioni. Assicurati che gli account siano etichettati con i dettagli per la tracciabilità se devono essere ripristinati.

• Utenti aziendali individuali: un'unità organizzativa ad accesso limitato destinata Account AWS agli utenti aziendali (non agli sviluppatori) che potrebbero aver bisogno di creare applicazioni relative alla produttività aziendale, ad esempio configurare un bucket S3 per condividere report o file con un partner.

• Eccezioni: Account AWS viene utilizzata per casi d'uso aziendali con requisiti di sicurezza o controllo altamente personalizzati, diversi da quelli definiti nell'unità organizzativa Workloads. Ad esempio, la configurazione di una nuova applicazione o funzionalità Account AWS specifica per una nuova applicazione o funzionalità riservata. SCPs Utilizzalo a livello di account per soddisfare esigenze personalizzate. Prendi in considerazione la possibilità di configurare un sistema Detect and React utilizzando Amazon EventBridge e AWS Config regole.

• Distribuzioni: contiene informazioni Account AWS destinate all'integrazione continua e continua delivery/deployment (CI/CD deployments). You can create this OU if you have a different governance and operational model for CI/CD deployments as compared to accounts in the Workloads OUs (Prod and SDLC). Distribution of CI/CD helps reduce the organizational dependency on a shared CI/CD environment operated by a central team. For each set of SDLC/Prod Account AWS per un'applicazione nell'unità organizzativa Workloads, crea un account per CI/CD in Deployments OU.

• Transizionale: viene utilizzata come area di archiviazione temporanea per gli account e i carichi di lavoro esistenti prima di spostarli nelle aree standard dell'organizzazione. Ciò potrebbe essere dovuto al fatto che gli account fanno parte di un'acquisizione, precedentemente gestita da una terza parte, o gli account legacy di una vecchia struttura organizzativa.

Il diagramma seguente mostra ulteriori informazioni OUs relative a sandbox, carichi di lavoro, gestione temporanea delle policy, utenti aziendali individuali sospesi, eccezioni, implementazioni e account di transizione:

Conclusioni

Una strategia multi-account ben progettata può aiutarti a innovare AWS, garantendo al contempo la soddisfazione delle tue esigenze di sicurezza e scalabilità. Il framework descritto in questo argomento rappresenta le AWS best practice da utilizzare come punto di partenza per il percorso. AWS

Il diagramma seguente mostra le istruzioni di base OUs e quelle aggiuntive consigliate: OUs