Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Elementi costitutivi della SRA: AWS Organizations, account e guardrail
Influenza il futuro della AWS Security Reference Architecture (AWSSRA) rispondendo a un breve sondaggio |
I servizi di sicurezza AWS, i relativi controlli e interazioni vengono utilizzati al meglio sulla base della strategia multi-account di AWS e delle barriere di gestione delle identità e degli accessi. Questi guardrail consentono di implementare i privilegi minimi, la separazione dei compiti e la privacy e forniscono il supporto per le decisioni sui tipi di controlli necessari, su dove viene gestito ciascun servizio di sicurezza e su come condividere dati e autorizzazioni nell'AWS SRA.
Un account AWS fornisce sicurezza, accesso e limiti di fatturazione per le tue risorse AWS e ti consente di raggiungere l'indipendenza e l'isolamento delle risorse. L'uso di più account AWS gioca un ruolo importante nel modo in cui soddisfi i requisiti di sicurezza, come discusso nella sezione Vantaggi dell'utilizzo di più account AWS del white paper Organizing Your AWS Environment Using Multiple Accounts. Ad esempio, puoi organizzare i carichi di lavoro in account separati e account di gruppo all'interno di un'unità organizzativa (OU) in base alla funzione, ai requisiti di conformità o a un insieme comune di controlli invece di rispecchiare la struttura di reporting dell'azienda. Tieni a mente la sicurezza e l'infrastruttura per consentire all'azienda di stabilire barriere comuni man mano che i carichi di lavoro crescono. Questo approccio offre confini e controlli solidi tra i carichi di lavoro. La separazione a livello di account, in combinazione con AWS Organizations, viene utilizzata per isolare gli ambienti di produzione dagli ambienti di sviluppo e test o per fornire un forte confine logico tra i carichi di lavoro che elaborano dati di diverse classificazioni come Payment Card Industry Data Security Standard (PCI DSS) o Health Insurance Portability and Accountability Act (HIPAA). Sebbene tu possa iniziare il tuo percorso verso AWS con un solo account, AWS consiglia di configurare più account man mano che i carichi di lavoro crescono in termini di dimensioni e complessità.
Le autorizzazioni consentono di specificare l'accesso alle risorse AWS. Le autorizzazioni vengono concesse a entità IAM note come responsabili (utenti, gruppi e ruoli). Per impostazione predefinita, i principali iniziano senza autorizzazioni. Le entità IAM non possono fare nulla in AWS finché non concedi loro le autorizzazioni e puoi configurare barriere che si applicano tanto ampiamente quanto l'intera organizzazione AWS o granulari come una singola combinazione di principio, azione, risorsa e condizioni.