Cos'è una zona di atterraggio? - AWS Guida prescrittiva
Il framework multi-account

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Cos'è una zona di atterraggio?

Una zona di atterraggio è un account multiplo ben progettatoAWSambiente scalabile e sicuro. Questo è un punto di partenza dal quale l'organizzazione può avviare e implementare rapidamente carichi di lavoro e applicazioni con fiducia nell'ambiente di sicurezza e infrastruttura. La creazione di una landing zone implica decisioni tecniche e aziendali da prendere in merito alla struttura dell'account, alla rete, alla sicurezza e alla gestione degli accessi in conformità con la crescita e gli obiettivi aziendali dell'organizzazione per il futuro.

Quando inizi a usareAWSsu larga scala, puoi guardare aAWSper una guida prescrittiva e un approccio per creare il tuo ambiente.AWSle migliori pratiche in quest'area sono incentrate sulla necessità di isolare risorse e carichi di lavoro in piùAWSaccount (contenitori di risorse) per l'isolamento e l'ambito della riduzione dell'impatto. La sezione successiva spiega perché desideri utilizzare più account.

Il framework multi-account

Sebbene non esista una risposta valida per tutti per quantiAWSaccount che dovresti avere, ti consigliamo di crearne più di unoAWSconto. Gli account multipli forniscono il massimo livello di isolamento delle risorse e della sicurezza. Prendi in considerazione la creazione di ulterioriAWSaccount se rispondi sì a una delle seguenti domande:

  • La tua azienda richiede l'isolamento amministrativo tra i carichi di lavoro?

  • La tua azienda richiede una visibilità e una rilevabilità limitate dei carichi di lavoro?

  • La tua azienda richiede l'isolamento per ridurre al minimo l'ambito di impatto?

  • La tua azienda richiede un forte isolamento dei dati di ripristino e/o controllo?

Relationship of elements showing why one account isn't enough: many teams, security and compliance controls, billing, isolation, and business processes.

Ecco altri motivi per cui un singolo account potrebbe non essere sufficiente:

  • Controlli di sicurezza— Applicazioni diverse possono avere profili di sicurezza diversi, il che richiede politiche e meccanismi di controllo diversi. È più facile parlare con un revisore e indicare un unico account che ospita il carico di lavoro PCI (Payment Card Industry).

  • Isolamento— Un account è un'unità di protezione di sicurezza. I potenziali rischi e le minacce alla sicurezza devono essere contenuti all'interno di un account senza influire sugli altri. Potrebbero esserci diverse esigenze di sicurezza che richiedono di isolare un account l'uno dall'altro, a causa di più team o di un profilo di sicurezza diverso.

  • Isolamento dei dati— L'isolamento degli archivi dati in un account limita il numero di persone che possono accedere e gestire tale archivio dati. Ciò contiene l'esposizione a dati altamente privati e contribuisce alla conformità al Regolamento generale sulla protezione dei dati (GDPR).

  • Molte squadre— Team diversi hanno responsabilità ed esigenze diverse in termini di risorse. Non devono oltrepassare l'un l'altro nello stesso account.

  • Processo aziendale— Unità aziendali o prodotti diversi possono avere scopi e processi diversi. È necessario creare account diversi per soddisfare le esigenze specifiche dell'azienda.

  • Fatturazione— Un account è l'unico vero modo per separare gli articoli a livello di fatturazione, comprese cose come le spese di trasferimento. Gli account multipli consentono di separare gli articoli a livello di fatturazione tra unità aziendali, team funzionali o singoli utenti.

  • Allocazione dei limiti— I limiti si intendono per account. La separazione dei carichi di lavoro in account diversi impedisce loro di consumare limiti o di sovradimensionare le risorse e quindi impedire ad altre applicazioni di funzionare come previsto.