Struttura di account dedicata - AWSGuida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Struttura di account dedicata

Influenza il future dellaAWS Security Reference Architecture (AWSSRA) partecipando a un breve sondaggio.

Un account AWS fornisce limiti di sicurezza, accesso e fatturazione per le tue risorse AWS e ti consente di raggiungere l'indipendenza e l'isolamento delle risorse. Per impostazione predefinita, non è consentito l'accesso tra gli account. 

Quando progettate l'unità organizzativa e la struttura dell'account, iniziate pensando alla sicurezza e all'infrastruttura. Consigliamo di creare una serie di unità organizzative fondamentali per queste funzioni specifiche, suddivise in unità organizzative di infrastruttura e sicurezza. Questi consigli su unità organizzative e account raccolgono un sottoinsieme delle nostre linee guida più ampie e complete per la progettazione di strutture multi-account per AWS Organizations. Per una serie completa di consigli, consulta Organizzare l'ambiente AWS utilizzando più account nella documentazione di AWS e nel post del blog Best Practices for Organizational Units with AWS Organizations

L'AWS SRA utilizza i seguenti account per realizzare operazioni di sicurezza efficaci su AWS. Questi account dedicati aiutano a garantire la separazione dei compiti, supportano diverse politiche di governance e accesso per diversi aspetti sensibili di applicazioni e dati e aiutano a mitigare l'impatto di un evento di sicurezza. Nelle discussioni che seguono, ci concentriamo sugli account di produzione (prod) e sui relativi carichi di lavoro. Gli account SDLC (Software Development Lifecycle) (spesso chiamati account di sviluppo e test) sono destinati allo staging dei risultati finali e possono operare in base a una politica di sicurezza diversa da quella degli account di produzione.

 

Account

OU

Ruolo di sicurezza

Gestione

 

Governance e gestione centralizzate di tutte le regioni e gli account AWS. L'account AWS che ospita la radice dell'organizzazione AWS.

Strumenti di sicurezza

Sicurezza

Account AWS dedicati per la gestione di servizi di sicurezza ampiamente applicabili (come Amazon GuardDuty, AWS Security Hub, AWS Audit Manager, Amazon Detective, Amazon Inspector e AWS Config), monitoraggio degli account AWS e automazione degli avvisi e delle risposte di sicurezza.

Archivio dei registri

Sicurezza

Account AWS dedicati per l'acquisizione e l'archiviazione di tutti i registri e i backup per tutte le regioni AWS e gli account AWS. Questo dovrebbe essere progettato come spazio di archiviazione immutabile.

Rete

Infrastruttura

Il gateway tra la tua applicazione e Internet in generale. L'account di rete isola i servizi di rete, la configurazione e il funzionamento più ampi dai carichi di lavoro delle singole applicazioni, dalla sicurezza e da altre infrastrutture.

Servizi condivisi

Infrastruttura

Questo account supporta i servizi utilizzati da più applicazioni e team per fornire i propri risultati. Gli esempi includono i servizi di directory di Identity Center (Active Directory), i servizi di messaggistica e i servizi di metadati.

Applicazione

Carichi di lavoro

Account AWS che ospitano le applicazioni dell'organizzazione AWS ed eseguono i carichi di lavoro. (Questi sono talvolta chiamati account di carico di lavoro.) Gli account delle applicazioni devono essere creati per isolare i servizi software anziché essere mappati ai team. Ciò rende l'applicazione distribuita più resiliente ai cambiamenti organizzativi.