Estratégia de várias contas da AWS para a sua zona de aterrissagem da Torre - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Estratégia de várias contas da AWS para a sua zona de aterrissagem da Torre

Os clientes da AWS Control Tower geralmente buscam orientação sobre como configurar seu ambiente e contas da AWS para obter melhores resultados. A AWS criou um conjunto unificado de recomendações, chamado deEstratégia de várias contas, para ajudá-lo a fazer o melhor uso de seus recursos da AWS, incluindo sua landing zone da AWS Control Tower.

Essencialmente, a AWS Control Tower atua como uma camada de orquestração que funciona com outros serviços da AWS, que ajudam você a implementar as recomendações de várias contas da AWS para contas da AWS e AWS Organizations. Após a configuração da landing zone, a AWS Control Tower continua a ajudá-lo a manter suas políticas corporativas e práticas de segurança em várias contas e cargas de trabalho.

A maioria das zonas de desembarque se desenvolve ao longo À medida que o número de unidades organizacionais (UOs) e contas em sua landing zone da AWS Control Tower aumenta, você pode estender sua implantação da AWS Control Tower de maneiras que ajudam a organizar suas cargas de trabalho de forma eficaz. Este capítulo fornece orientações prescritivas sobre como planejar e configurar sua landing zone da AWS Control Tower, alinhada com a estratégia de várias contas da AWS, e ampliá-la ao longo do tempo.

Estratégia de várias contas da AWS: Orientação de práticas recomendadas

As práticas recomendadas da AWS para um ambiente bem arquitetado recomendam que você separe seus recursos e cargas de trabalho em várias contas da AWS. Você pode pensar nas contas da AWS como contêineres de recursos isolados: elas oferecem categorização de carga de trabalho, bem como redução de raio de explosão quando as coisas dão errado.

Definição de uma conta da AWS

Uma conta da AWS atua como um contêiner de recursos e um limite de isolamento de recursos.

nota

Uma conta da AWS não é a mesma que uma conta de usuário, que é configurada por meio do Federation ou do AWS Identity and Access Management (IAM).

Mais sobre contas da AWS

Uma conta da AWS fornece a capacidade de isolar recursos e conter ameaças à segurança para suas cargas de trabalho da AWS. Uma conta também fornece um mecanismo para faturamento e governança de um ambiente de carga de trabalho.

A conta da AWS é o principal mecanismo de implementação para fornecer um contêiner de recursos para suas cargas de trabalho. Se o seu ambiente for bem arquitetado, você poderá gerenciar várias contas da AWS de forma eficaz e, portanto, gerenciar várias cargas de trabalho e ambientes.

A AWS Control Tower configura um ambiente bem arquitetado. Ele depende de contas da AWS, juntamente com AWS Organizations, que ajudam a controlar alterações em seu ambiente que podem se estender por várias contas.

Definição de um ambiente bem arquitetado

A AWS define um ambiente bem arquitetado como aquele que começa com uma zona de pouso.

A AWS Control Tower oferece uma landing zone configurada automaticamente. Ele impõe proteções para garantir a conformidade com suas diretrizes corporativas, em várias contas em seu ambiente.

Definição de landing zone

A landing zone é um ambiente de nuvem que oferece um ponto de partida recomendado, incluindo contas padrão, estrutura de conta, layouts de rede e segurança e assim por diante. Em uma zona de destino, você pode implantar cargas de trabalho que utilizam suas soluções e aplicativos.

Diretrizes para criar um ambiente bem arquitetado

Os três componentes-chave de um ambiente bem arquitetado, explicados nas seções a seguir, são:

  • Várias contas da AWS

  • Várias unidades organizacionais (UOs)

  • Uma estrutura bem planejada

Usar várias contas da AWS

Uma conta não é suficiente para configurar um ambiente bem arquitetado. Ao usar várias contas, você pode oferecer melhor suporte aos seus objetivos de segurança e processos de negócios. Aqui estão alguns benefícios do uso de uma abordagem de várias contas:

  • Controles de segurança— os aplicativos têm perfis de segurança diferentes, portanto exigem políticas e mecanismos de controle diferentes. Por exemplo, é muito mais fácil falar com um auditor e apontar para uma única conta que hospeda a carga de trabalho do setor de cartões de pagamento (PCI).

  • isolamento— Uma conta é uma unidade de proteção de segurança. Riscos potenciais e ameaças de segurança podem ser contidos em uma conta sem afetar outras pessoas. Portanto, as necessidades de segurança podem exigir que você isole contas umas das outras. Por exemplo, você pode ter equipes com diferentes perfis de segurança.

  • Muitas equipes— As equipes têm diferentes responsabilidades e necessidades de recursos. Ao configurar várias contas, as equipes não podem interferir umas com as outras, como podem ao usar a mesma conta.

  • Isolamento do— o isolamento de armazenamentos de dados em uma conta ajuda a limitar o número de pessoas que têm acesso aos dados e podem gerenciar o armazenamento de dados. Esse isolamento ajuda a evitar a exposição não autorizada de dados altamente privados. Por exemplo, o isolamento de dados ajuda a apoiar a conformidade com o Regulamento Geral de Proteção de Dados (GDPR).

  • Processo de negócios— As unidades de negócios ou produtos geralmente têm finalidades e processos completamente diferentes. Contas individuais podem ser estabelecidas para atender às necessidades específicas da empresa.

  • Faturamento— Uma conta é a única maneira de separar itens em um nível de faturamento, incluindo despesas de transferência e assim por diante. A estratégia de várias contas ajuda a criar itens faturáveis separados entre unidades de negócios, equipes funcionais ou usuários individuais.

  • Atribuir cotas— as cotas da AWS são configuradas por conta. A separação de cargas de trabalho em contas diferentes dá a cada conta (como um projeto) uma cota individual bem definida.

Usar várias unidades organizacionais

A AWS Control Tower e outras estruturas de orquestração de contas podem fazer alterações que cruzam os limites da conta. Portanto, as práticas recomendadas da AWS abordam alterações entre contas, o que potencialmente pode quebrar um ambiente ou prejudicar sua segurança. Em alguns casos, as alterações podem afetar o ambiente geral, além das políticas. Como resultado, recomendamos que você configure pelo menos duas contas obrigatórias, Produção e Preparação.

Além disso, as contas da AWS geralmente são agrupadas em unidades organizacionais (UOs), para fins de governança e controle. As UOs são projetadas para lidar com a imposição de políticas em várias contas.

Nossa recomendação é que, no mínimo, você crie um ambiente de pré-produção (ou preparação) distinto do ambiente de produção — com proteções e políticas distintas. Os ambientes de Produção e Preparação podem ser criados e controlados como OUs separadas e faturados como contas separadas. Além disso, talvez você queira configurar uma UO de sandbox para teste de código.

Use uma estrutura bem planejada para UOs em sua landing zone

A AWS Control Tower configura algumas UOs para você automaticamente. À medida que suas cargas de trabalho e requisitos se expandem ao longo do tempo, você pode estender a configuração original da zona de pouso para atender às suas necessidades

nota

Os nomes fornecidos nos exemplos seguem as convenções de nomenclatura da AWS sugeridas para configurar um ambiente da AWS com várias contas. Você pode renomear suas UOs depois de configurar sua landing zone, selecionandoEditena página de detalhes da UO.

Recomendações

Depois que a AWS Control Tower configurar a primeira OU necessária para você — a OU de segurança — recomendamos a criação de algumas UOs adicionais em sua landing zone.

Recomendamos que você permita que a AWS Control Tower crie pelo menos uma UO adicional, chamada de OU Sandbox. Esta OU é para seus ambientes de desenvolvimento de software. A AWS Control Tower pode configurar a OU de sandbox para você durante a criação landing zone, se você selecioná-la.

Duas outras UOs recomendadas que você pode configurar por conta própria: a UO de infraestrutura, para conter seus serviços compartilhados e contas de rede, e uma UO para conter suas cargas de trabalho de produção, chamada de UO de cargas de trabalho. Você pode adicionar outras UOs na sua landing zone por meio do console da AWS noUnidades organizacionais.

OUs recomendadas além das configuradas automaticamente

  • Infra-estrutura— Contém seus serviços compartilhados e contas de rede.

    nota

    A AWS Control Tower não configura a OU de infraestrutura para você.

  • Sandbox UO— Uma UO de desenvolvimento de software. Por exemplo, ele pode ter um limite de gastos fixo ou pode não estar conectado à rede de produção.

    nota

    A AWS Control Tower recomenda que você configure a OU de sandbox, mas ela é opcional. Ele pode ser configurado automaticamente como parte da configuração da sua landing zone.

  • Cargas de trabalho da— Contém contas que executam suas cargas de trabalho.

    nota

    A AWS Control Tower não configura a OU de cargas de trabalho para você.

Exemplo de AWS Control Tower com uma estrutura completa de UO de várias contas

A AWS Control Tower oferece suporte a uma hierarquia de OU simples, o que significa que as UOs aninhadas não estão disponíveis. No entanto, você ainda pode criar um ambiente de AWS Control Tower para corresponder à orientação de estratégia de várias contas da AWS.

O diagrama na página vinculada mostra que mais OUs básicas e mais OUs adicionais foram criadas. Essas UOs atendem às necessidades adicionais de uma implantação maior.

Na coluna UOs Fundamentais, duas UOs foram adicionadas à estrutura básica:

  • OU Security_Prod— fornece uma área somente leitura para políticas de segurança, bem como uma área de auditoria de segurança quebrada.

  • Infra-estrutura— você pode querer separar a UO de infraestrutura, recomendada anteriormente, em duas UOs, Infrastructure_Test (para infraestrutura de pré-produção) e Infrastructure_Prod (para infraestrutura de produção).

Na área OUs adicionais, várias OUs foram adicionadas à estrutura básica. Estas são as próximas UOs recomendadas a serem criadas à medida que seu ambiente cresce:

  • Cargas de trabalho da— A UO de cargas de trabalho, recomendada anteriormente, mas opcional, foi separada em duas UOs, Workloads_Test (para cargas de trabalho de pré-produção) e Workloads_Prod (para cargas de trabalho de produção).

  • PolicyStaging UO— permite que os administradores de sistema testem suas alterações em proteções e políticas antes de aplicá-las totalmente.

  • Suspender o— Oferece um local para contas que podem ter sido desativadas temporariamente.

Sobre o Raiz

A raiz não é uma OU. É um contêiner para a conta de gerenciamento e para todas as UOs e contas em sua organização. Conceitualmente, a raiz contém todas as UOs. Não pode ser excluído. Você não pode controlar as contas cadastradas no nível de raiz na AWS Control Tower. Em vez disso, governe as contas inscritas nas UOs. Para obter um diagrama útil, consulteDocumentação da AWS Organizations.