OU 설계: 2단계

이 예제의 제약 회사는 검증된 프로덕션 워크로드를 기존 OU에 배포하여 클라우드 성숙도의 새로운 단계를 가속화했습니다. 이로 인해 초기 설계에 대한 검토가 시작되었고, 규제 대상AWS landing zone 존으로 더 많은 워크로드가 마이그레이션되면서 1단계 구조에 문제가 생겼습니다.

다음과 같은 새로운 요구 사항 및 통찰력이 중요해졌습니다.

• 이 회사는 데이터 공유 모델 워크로드를 구현했기 때문에 애플리케이션은 더 이상 임상 또는 제조와 같은 별도의 OU에 할당할 수 없는 다목적 특성을 갖게 되었습니다.

• 검증 (특히 지속적인 검증) 은 많은 워크로드의 중요한 측면이 되었습니다. 보안 모범 사례를 더 쉽게 따를 수 있도록 이러한 워크로드를 운영 프로세스에 통합해야 했습니다. 검증된 워크로드에는 1단계에서 OU 수준에서 설정된 보다 엄격한AWS 제어가 필요했습니다.

• 중첩된 OU 기능을 에서 사용할 수 있게 되었습니다AWS Control Tower.

• 기술 향상과 경험을 통해 워크로드와 관련된 특정 정책이 무엇인지 더 잘 이해할 수 있었습니다.

• 회사는 책임 조정에 기반한 운영 모델을 정의하고 이에 동의했습니다.

• 워크로드 세분화 및 구조화 청사진은 성숙해졌으며 워크로드 마이그레이션에 채택되었습니다.

그 결과 2단계에서 새로운 설계가 구현되어 새 구조로AWS 계정 마이그레이션되었습니다. 이 새 구조에는 다음 단원에 설명된 OU 단원이 포함됩니다.

아키텍처 설계

다음 다이어그램은 2단계의 OU 아키텍처를 보여줍니다.

보안 OU

보안 OU는 보안 기능과 광범위하게AWS 계정 관련되어 있으며 두 개의 계정 (Audit 및 Log Archive) 을 사용하여 환경에 대한 중앙 로깅 및 감사 액세스를 위한 보안 운영 데이터를 저장합니다. AWS GuardDuty Amazon과AWS Security Hub 같은 핵심 보안 서비스는 감사 계정에 있습니다. 이 OU는 원래 디자인에서 변경되지 않았습니다.

인프라 플랫폼 OU

인프라 플랫폼 OU에는AWS landing zone 전체의 네트워킹 및 공유 자동화와 같은 기본 인프라 계정이 포함되어 있습니다. 이 OU는 원래 디자인에서 변경되지 않았습니다.

자격을 갖춘 OU

Qualified OU에는 엄격한 변경 관리, 검증 및 검증과 같은 검증된 인프라가 필요한 워크로드가 포함되어 있습니다.

자격이 없는 OU

비정규 OU에는 GxP 요구 사항이 없거나 업무상 중요하지 않은 워크로드가 포함되어 있습니다.

OU OU

Auage SimStorage Storage Storage Storage Storage Storage Storage Storage Storage Storage Storage Storage Storage Storage Storage Storage Storage Storage Storage 요구 사항에 따라 자동화를 여러 환경으로 분할하거나 단일 환경에서 호스팅할 수AWS 계정 있습니다.

OU OU

Exceptions OU에는 정책으로 방지할 수 있는 특별한 처리가 필요한 워크로드가 포함되어 있습니다. 예를 들어, 액세스 및 읽기 SimStorage Simple Storage Service (Amazon S3) Storage Storage Storage Storage Storage Storage S

OU SimStorage OU

Graveyard OU에는 삭제될 워크로드가AWS 계정 들어 있습니다. 계정이 만료되거나 삭제될 때까지 효과적이고 간단한 관리 액세스를 위해 이러한 계정의 정책을 제거해야 합니다.