Organizzazione AWS e struttura degli account dell'AWS SRA - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Organizzazione AWS e struttura degli account dell'AWS SRA

Influenza il futuro della AWS Security Reference Architecture (AWSSRA) rispondendo a un breve sondaggio.

Il diagramma seguente illustra la struttura di alto livello di AWS SRA senza visualizzare servizi specifici. Riflette la struttura degli account dedicati discussa nella sezione precedente e includiamo il diagramma qui per orientare la discussione sui componenti principali dell'architettura:

  • Tutti gli account mostrati nel diagramma fanno parte di una singola organizzazione AWS.

  • In alto a sinistra del diagramma c'è l'account Org Management, utilizzato per creare l'organizzazione AWS.

  • Sotto l'account Org Management si trova l'unità organizzativa di sicurezza con due account specifici: uno per Security Tooling e l'altro per Log Archive.

  • Sul lato destro si trova l'unità organizzativa dell'infrastruttura con l'account di rete e l'account Shared Services.

  • Nella parte inferiore del diagramma c'è l'unità organizzativa Workloads, associata a un account dell'applicazione che ospita l'applicazione aziendale.

Ai fini di questa guida, tutti gli account sono considerati account di produzione (prod) che operano in una singola regione AWS. La maggior parte dei servizi AWS (ad eccezione dei servizi globali) ha un ambito regionale, il che significa che i piani di controllo e dati del servizio esistono indipendentemente in ogni regione AWS. Per questo motivo, devi replicare questa architettura in tutte le regioni AWS che intendi utilizzare, per garantire la copertura dell'intero panorama AWS. Se non disponi di carichi di lavoro in una regione AWS specifica, devi disabilitare la regione utilizzando SCP o meccanismi di registrazione e monitoraggio. Puoi utilizzare AWS Security Hub per aggregare risultati e punteggi di sicurezza da più regioni AWS in un'unica regione di aggregazione per una visibilità centralizzata.

Quando si ospita un'organizzazione AWS con un ampio set di account, è utile disporre di un livello di orchestrazione che faciliti la distribuzione e la governance degli account. AWS Control Tower offre un modo semplice per configurare e gestire un ambiente AWS con più account. Gli esempi di codice AWS SRA presenti nel GitHubrepository dimostrano come utilizzare la soluzione Customizations for AWS Control Tower (cFCT) per distribuire le strutture consigliate da AWS SRA.

Struttura di alto livello dell'AWS SRA (senza servizi)