AWS estratégia de várias contas para sua landing zone do AWS Control Tower

Os clientes do AWS Control Tower geralmente buscam orientação sobre como configurar seu AWS ambiente e suas contas para obter melhores resultados.AWS criou um conjunto unificado de recomendações, chamado de estratégia de várias contas, para ajudar você a fazer o melhor uso de seus AWS recursos, incluindo sua landing zone do AWS Control Tower.

Essencialmente, o AWS Control Tower atua como uma camada de orquestração que funciona com outros AWS serviços, que ajudam você a implementar as recomendações de AWS várias contas para AWS contas e. AWS Organizations Depois que a zona de pouso for configurada, o AWS Control Tower continuará ajudando você a manter suas políticas corporativas e práticas de segurança em várias contas e workloads.

A maioria das zonas de pouso se desenvolve com o tempo. À medida que o número de unidades organizacionais (OUs) e contas na sua landing zone da AWS Control Tower aumenta, você pode estender a implantação da AWS Control Tower de forma a ajudar a organizar suas cargas de trabalho de forma eficaz. Esse capítulo fornece orientações prescritivas sobre como planejar e configurar a zona de pouso do AWS Control Tower, de acordo com a estratégia de várias contas da AWS , e estendê-la ao longo do tempo.

Para uma discussão geral sobre as melhores práticas para unidades organizacionais, consulte Melhores práticas para unidades organizacionais com AWS Organizations.

AWS estratégia de várias contas: orientação sobre as melhores práticas

AWS as melhores práticas para um ambiente bem arquitetado recomendam que você separe seus recursos e cargas de trabalho em várias contas. AWS Você pode pensar nas contas da AWS como contêineres de recursos isolados: elas oferecem categorização da workload, bem como redução do raio de alcance quando as coisas dão errado.

Definição de uma AWS conta

Uma AWS conta atua como um contêiner de recursos e um limite de isolamento de recursos.

nota

Uma AWS conta não é o mesmo que uma conta de usuário, que é configurada por meio da Federação ou AWS Identity and Access Management (IAM).

Mais sobre AWS contas

Uma AWS conta oferece a capacidade de isolar recursos e conter ameaças à segurança de suas AWS cargas de trabalho. Uma conta também fornece um mecanismo para cobrança e governança de um ambiente de workload.

A AWS conta é o principal mecanismo de implementação para fornecer um contêiner de recursos para suas cargas de trabalho. Se seu ambiente for bem arquitetado, você poderá gerenciar várias AWS contas com eficiência e, assim, gerenciar várias cargas de trabalho e ambientes.

O AWS Control Tower configura um ambiente bem arquitetado. Além disso, ele depende de AWS contas que ajudam a controlar mudanças em seu ambiente que podem se estender a várias contas. AWS Organizations

Definição de um ambiente bem arquitetado

AWS define um ambiente bem arquitetado como aquele que começa com uma landing zone.

O AWS Control Tower oferece uma zona de pouso que é configurada automaticamente. Ele impõe controles para garantir a conformidade com suas diretrizes corporativas em várias contas em seu ambiente.

Definição de um zona de pouso

A zona de pouso é um ambiente de nuvem que oferece um ponto de partida recomendado, incluindo contas padrão, estrutura de contas, layouts de rede e segurança e assim por diante. Com uma zona de pouso, é possível implantar workloads que utilizam suas soluções e aplicações.

Diretrizes para configurar um ambiente bem arquitetado

Os três componentes principais de um ambiente bem arquitetado, explicados nas seções a seguir, são:

• Várias AWS contas

• Várias unidades organizacionais (OUs)

• Uma estrutura bem planejada

Usar várias contas da AWS

Uma conta não é suficiente para configurar um ambiente bem arquitetado. Ao usar várias contas, é possível oferecer melhor suporte às suas metas de segurança e processos comerciais. Veja alguns benefícios de usar uma abordagem de várias contas:

• Controle de segurança: as aplicações têm diferentes perfis de segurança, portanto exigem políticas e mecanismos de controle diferentes. Por exemplo, é mais fácil falar com um auditor e apontar para uma única conta que hospeda a workload do setor de cartões de pagamento (PCI).

• Isolamento: uma conta é uma unidade de proteção de segurança. Os possíveis riscos e as ameaças à segurança devem estar contidos em uma conta sem afetar outras. Portanto, as necessidades de segurança podem exigir que você isole as contas umas das outras. Por exemplo, é possível ter equipes com perfis de segurança diferentes.

• Muitas equipes: as equipes têm responsabilidades e necessidades de recursos diferentes. Ao configurar várias contas, as equipes não podem interferir umas nas outras, como fariam ao usar a mesma conta.

• Isolamento de dados: isolar os armazenamentos de dados em uma conta ajuda a limitar o número de pessoas que têm acesso aos dados e podem gerenciar o armazenamento de dados. Esse isolamento ajuda a evitar a exposição não autorizada de dados altamente privados. Por exemplo, o isolamento de dados ajuda a apoiar a conformidade com o Regulamento Geral sobre a Proteção de Dados (GDPR).

• Processo empresarial: as unidades de negócios ou produtos costumam ter finalidades e processos completamente diferentes. Contas individuais podem ser estabelecidas para atender às necessidades específicas do negócio.

• Faturamento: uma conta é a única maneira verdadeira de separar itens em um nível de faturamento, incluindo coisas como taxas de transferência e assim por diante. A estratégia de várias contas ajuda a criar itens separados passíveis de cobrança em unidades de negócios, equipes funcionais ou usuários individuais.

• Alocação de cotas — as AWS cotas são configuradas por conta. A separação das workloads em contas diferentes dá a cada conta (como um projeto) uma cota individual bem definida.

Usar várias unidades organizacionais

O AWS Control Tower e outras estruturas de orquestração de contas podem fazer alterações que ultrapassam os limites da conta. Portanto, as AWS melhores práticas abordam mudanças em várias contas, que podem potencialmente prejudicar um ambiente ou prejudicar sua segurança. Em alguns casos, as mudanças podem afetar o ambiente geral, além das políticas. Como resultado, recomendamos que você configure pelo menos duas contas obrigatórias, de produção e de preparação.

Além disso, AWS as contas geralmente são agrupadas em unidades organizacionais (OUs), para fins de governança e controle. OUs são projetados para lidar com a aplicação de políticas em várias contas.

Nossa recomendação é que, no mínimo, você crie um ambiente de pré-produção (ou preparação) diferente do ambiente de produção, com controles e políticas distintos. Os ambientes de produção e preparação podem ser criados e administrados separadamente e faturados como contas separadas OUs. Além disso, você pode querer configurar uma UO de sandbox para testes de código.

Use uma estrutura bem planejada para OUs sua landing zone

O AWS Control Tower configura alguns OUs para você automaticamente. À medida que suas workloads e seus requisitos se expandem com o tempo, você pode estender a configuração original da zona de pouso para atender às suas necessidades.

nota

Os nomes fornecidos nos exemplos seguem as convenções de AWS nomenclatura sugeridas para configurar um ambiente com várias AWS contas. Você pode renomear sua OUs depois de configurar sua landing zone, selecionando Editar na página de detalhes da OU.

Recomendações

Depois que o AWS Control Tower configurar a primeira OU necessária para você — a OU de segurança —, recomendamos criar outras OUs na sua landing zone.

Recomendamos que você permita que o AWS Control Tower crie pelo menos uma UO adicional, chamada UO de sandbox. Essa UO é para seus ambientes de desenvolvimento de software. O AWS Control Tower pode configurar a UO de sandbox para você durante a criação da zona de pouso, caso a selecione.

Duas outras recomendadas OUs que você pode configurar por conta própria: a UO de Infraestrutura, para conter seus serviços compartilhados e contas de rede, e uma OU para conter suas cargas de trabalho de produção, chamada de UO de Cargas de Trabalho. Você pode adicionar mais OUs em sua landing zone por meio do console do AWS Control Tower na página de unidades organizacionais.

Recomendado, OUs além dos configurados automaticamente

• UO de infraestrutura: contém seus serviços compartilhados e contas de rede.

  nota

  O AWS Control Tower não configura a UO de infraestrutura para você.

• UO de sandbox: uma UO de desenvolvimento de software. Por exemplo, ela pode ter um limite fixo de gastos ou pode não estar conectada à rede de produção.

  nota

  O AWS Control Tower recomenda que você configure a UO de sandbox, mas ela é opcional. Ela pode ser configurada automaticamente como parte da configuração da zona de pouso.

• UO de workloads: contém contas que executam suas workloads.

  nota

  O AWS Control Tower não configura a UO de workloads para você.

Consulte mais informações em Production starter organization with AWS Control Tower.

Exemplo do AWS Control Tower com uma estrutura completa de UO de várias contas

O AWS Control Tower permite definir uma hierarquia de UO aninhada, o que significa que você pode criar uma estrutura hierárquica de OU que atenda aos requisitos da sua organização. Você pode criar um ambiente do AWS Control Tower de acordo com a orientação estratégica de AWS várias contas.

Você também pode criar uma estrutura de UO mais simples e plana que tenha um bom desempenho e esteja alinhada com a orientação de várias contas da AWS . Só porque você pode criar uma estrutura hierárquica de UO, isso não significa que deva fazer isso.

• Para ver um diagrama que mostra um conjunto de exemplos OUs em um ambiente expandido e plano do AWS Control Tower com orientação para AWS várias contas, consulte Exemplo: cargas de trabalho em uma estrutura de OU plana.

• Consulte mais informações sobre como o AWS Control Tower funciona com estruturas de UO aninhada em Aninhado OUs na AWS Control Tower.

• Para obter mais informações sobre como o AWS Control Tower se alinha à AWS orientação, consulte o AWS white paper Organizing Your AWS Environment Using Multiple Accounts.

O diagrama na página vinculada mostra que mais Fundamentais OUs e mais Adicionais OUs foram criados. Eles OUs atendem às necessidades adicionais de uma implantação maior.

Na OUs coluna Fundamental, duas OUs foram adicionadas à estrutura básica:

• UO Security_Prod: fornece uma área somente leitura para políticas de segurança, bem como uma área de auditoria de segurança emergencial.

• UO de infraestrutura — Talvez você queira separar a OU de infraestrutura, recomendada anteriormente, em duas OUs, Infrastructure_Test (para infraestrutura de pré-produção) e Infrastructure_Prod (para infraestrutura de produção).

Na OUs área adicional, várias outras OUs foram adicionadas à estrutura básica. Estes são os próximos itens recomendados OUs para criar à medida que seu ambiente cresce:

• UO de cargas de trabalho — A OU de cargas de trabalho, recomendada anteriormente, mas opcional, foi separada em duas OUs, Workloads_Test (para cargas de trabalho de pré-produção) e Workloads_Prod (para cargas de trabalho de produção).

• PolicyStaging OU — permite que os administradores do sistema testem suas alterações nos controles e políticas antes de aplicá-las totalmente.

• OU suspensa: oferece um local para contas que podem ter sido desativadas temporariamente.

Sobre a raiz

A raiz não é uma UO. É um contêiner para a conta de gerenciamento e para todas as OUs contas da sua organização. Conceitualmente, a raiz contém todos os. OUs Ela não pode ser excluída. Não é possível administrar contas inscritas no nível de raiz no AWS Control Tower. Em vez disso, controle as contas inscritas em seu. OUs Para obter um diagrama útil, consulte a AWS Organizations documentação.