Lezioni apprese e migliori pratiche

La progettazione della struttura delle unità organizzative non è un'operazione irripetibile. Man mano che un'azienda aumenta l'adozione del cloud e migra carichi di lavoro aggiuntivi nella AWS landing zone, anche il design delle unità organizzative (e implicitamente il suo concetto di policy) si evolverà naturalmente.
Non confondetele con cartelle; consideratele un obiettivo OUs per le policy. Le OUs e la relativa gerarchia forniscono l'elemento strutturante per le politiche Account AWS e devono essere sempre trattate come contenitori per le politiche. Si consiglia di inserire tutto ciò Account AWS che richiede lo stesso set di politiche nella stessa unità organizzativa. Questa linea guida si estende anche a nidificato OUs (OUs all'interno OUs).

AWS gli ambienti che richiedono funzionalità condivise centralmente e capacità di condivisione dei dati tra carichi di lavoro (spesso presenti nelle piattaforme di dati aziendali) sono più facili da inserire in una struttura di unità organizzative non basata sulla classificazione delle funzioni delle linee di business (LOB). Ad esempio, un ambiente di produzione per un'applicazione di produzione non è diverso da un ambiente di produzione per un'applicazione di analisi di sperimentazione clinica in termini di politiche in. AWS Organizations
Rispetta e usa l'ereditarietà. Quando si associa una politica a un'unità organizzativa specifica, le persone Account AWS che fanno capo direttamente a tale unità organizzativa o a un'unità organizzativa secondaria ereditano la politica. Quando si allega una politica a una specifica Account AWS, la politica influisce solo su quella Account AWS.

Lo sforzo di migrazione da una struttura di unità organizzativa a un'altra dipende dalla misura in cui le politiche esistenti sono state configurate a livello di unità organizzativa o Account AWS a livello di unità organizzativa. Un altro fattore importante è la quantità di ereditarietà delle politiche utilizzata nella gerarchia delle unità organizzative esistente o se l'ereditarietà è stata interrotta. La complessità della migrazione aumenta con l'implementazione di percorsi di ereditarietà irregolari o devianti. Ad esempio, se si applicano le politiche a Account AWS livello individuale o si fanno frequenti eccezioni alle politiche (che interrompono l'ereditarietà), la migrazione di tali politiche in una nuova struttura richiederà uno sforzo molto maggiore. In questi casi di elevata complessità, si consiglia di dedicare del tempo alla revisione e alla riprogettazione dell'ereditarietà delle politiche durante la pianificazione della migrazione.
Prenditi cura sia delle AWS Organizations politiche che dei controlli. AWS Control Tower La struttura dell'unità organizzativa è condivisa tra AWS Control Tower e AWS Organizations. AWS Control Tower fornisce una propria serie di controlli investigativi e preventivi. Questi controlli si applicano a livello Account AWS di unità organizzativa. AWS Organizations orchestra le politiche a livello di unità organizzativa. In una migrazione di unità organizzative, si consiglia di migrare innanzitutto AWS Organizations le politiche, poiché queste hanno un peso maggiore ai fini della conformità. Si consiglia di applicare AWS Control Tower i controlli alla nuova struttura dell'unità organizzativa nella seconda fase di migrazione.
L'aggiornamento richiede tempo Account AWS. È necessario registrare nuovamente le Account AWS singole unità esistenti nella nuova struttura dell'unità organizzativa utilizzando. AWS Control Tower Questa operazione richiede tempo. Se disponi di un numero elevato di account, ti consigliamo di semplificare questa operazione mediante l'automazione per controllare e automatizzare il posizionamento delle unità organizzative di. Account AWS Ecco due scenari di esempio:
- Modifica manuale per una migrazione di piccole dimensioni: il responsabile della migrazione riassegna ciascuna unità Account AWS organizzativa dalla vecchia unità organizzativa alla nuova unità organizzativa in. AWS Management Console Quando la riassegnazione è completa per tutti Account AWS, il lead di migrazione si apre per ciascuno Account AWS separatamente AWS Control Tower o per tutti. OUs La nuova registrazione AWS Control Tower richiede Account AWS 10-15 minuti per ogni account, Account AWS a seconda del numero di utenti Regioni AWS utilizzati nell'account. AWS Control Tower consente l'esecuzione in parallelo di un massimo di cinque operazioni simultanee di questo tipo.
- Automazione delle modifiche personalizzata: l'automazione semplifica e fa risparmiare fatica. Ad esempio, è possibile automatizzare la gestione di un Account AWS ciclo di vita dalla creazione alla migrazione e alla conclusione. È possibile utilizzare AWS Control Tower Account Factory per modificare l'assegnazione dell'unità organizzativa per un Account AWS ed eseguire il processo di nuova registrazione. Questa automazione supporta la migrazione su larga scala di centinaia di. Account AWS

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Migrazione e verifica delle unità organizzative

Risorse