Struttura di account dedicata

Influenza il future dellaAWS Security Reference Architecture (AWSSRA) partecipando a un breve sondaggio

Un account AWS fornisce limiti di sicurezza, accesso e fatturazione per le tue risorse AWS e ti consente di raggiungere l'indipendenza e l'isolamento delle risorse. Per impostazione predefinita, non è consentito l'accesso tra gli account.

Quando progettate l'unità organizzativa e la struttura dell'account, iniziate pensando alla sicurezza e all'infrastruttura. Consigliamo di creare una serie di unità organizzative fondamentali per queste funzioni specifiche, suddivise in unità organizzative di infrastruttura e sicurezza. Questi consigli su unità organizzative e account raccolgono un sottoinsieme delle nostre linee guida più ampie e complete per la progettazione di strutture multi-account per AWS Organizations. Per una serie completa di consigli, consulta Organizzare l'ambiente AWS utilizzando più account nella documentazione di AWS e nel post del blog Best Practices for Organizational Units with AWS Organizations.

L'AWS SRA utilizza i seguenti account per realizzare operazioni di sicurezza efficaci su AWS. Questi account dedicati aiutano a garantire la separazione dei compiti, supportano diverse politiche di governance e accesso per diversi aspetti sensibili di applicazioni e dati e aiutano a mitigare l'impatto di un evento di sicurezza. Nelle discussioni che seguono, ci concentriamo sugli account di produzione (prod) e sui relativi carichi di lavoro. Gli account SDLC (Software Development Lifecycle) (spesso chiamati account di sviluppo e test) sono destinati allo staging dei risultati finali e possono operare in base a una politica di sicurezza diversa da quella degli account di produzione.

Account	OU	Ruolo di sicurezza
Gestione	—	Governance e gestione centralizzate di tutte le regioni e gli account AWS. L'account AWS che ospita la radice dell'organizzazione AWS.
Strumenti di sicurezza	Sicurezza	Account AWS dedicati per la gestione di servizi di sicurezza ampiamente applicabili (come Amazon GuardDuty, AWS Security Hub, AWS Audit Manager, Amazon Detective, Amazon Inspector e AWS Config), monitoraggio degli account AWS e automazione degli avvisi e delle risposte di sicurezza.
Archivio dei registri	Sicurezza	Account AWS dedicati per l'acquisizione e l'archiviazione di tutti i registri e i backup per tutte le regioni AWS e gli account AWS. Questo dovrebbe essere progettato come spazio di archiviazione immutabile.
Rete	Infrastruttura	Il gateway tra la tua applicazione e Internet in generale. L'account di rete isola i servizi di rete, la configurazione e il funzionamento più ampi dai carichi di lavoro delle singole applicazioni, dalla sicurezza e da altre infrastrutture.
Servizi condivisi	Infrastruttura	Questo account supporta i servizi utilizzati da più applicazioni e team per fornire i propri risultati. Gli esempi includono i servizi di directory di Identity Center (Active Directory), i servizi di messaggistica e i servizi di metadati.
Applicazione	Carichi di lavoro	Account AWS che ospitano le applicazioni dell'organizzazione AWS ed eseguono i carichi di lavoro. (Questi sono talvolta chiamati account di carico di lavoro.) Gli account delle applicazioni devono essere creati per isolare i servizi software anziché essere mappati ai team. Ciò rende l'applicazione distribuita più resiliente ai cambiamenti organizzativi.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

L'account di gestione, l'accesso affidabile e gli amministratori delegati

Organizzazione AWS e struttura degli account dell'AWS SRA