AWSestratégia de várias contas para sua landing zone da AWS Control Tower - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWSestratégia de várias contas para sua landing zone da AWS Control Tower

Os clientes da AWS Control Tower geralmente buscam orientação sobre como configurarAWSambiente e contas para obter melhores resultados.AWScriou um conjunto unificado de recomendações, chamado deestratégia de várias contas, para ajudá-lo a fazer o melhor uso do seuAWSrecursos, incluindo a landing zone do AWS Control Tower

Essencialmente, o AWS Control Tower atua como uma camada de orquestração que funciona com outrosAWSserviços, que o auxiliam na implementação doAWSrecomendações de várias contas paraAWScontas eAWS Organizations. Depois que sua landing zone for configurada, o AWS Control Tower continuará a ajudá-lo a manter suas políticas corporativas e práticas de segurança em várias contas e cargas de trabalho.

A maioria das zonas de pouso se desenvolve com o tempo. À medida que o número de unidades organizacionais (OUs) e contas na landing zone da AWS Control Tower aumenta, você pode estender a implantação da AWS Control Tower de maneiras que ajudem a organizar suas cargas de trabalho com eficiência. Este capítulo fornece orientações prescritivas sobre como planejar e configurar sua landing zone da AWS Control Tower, em alinhamento com oAWSestratégia de várias contas e estenda-a ao longo do tempo.

Para uma discussão geral sobre as práticas recomendadas para unidades organizacionais, consulteMelhores práticas doAWS Organizations.

AWSestratégia de várias contas: Orientação de práticas adas

AWSas práticas recomendadas para um ambiente bem arquitetado recomendam que você separe seus recursos e cargas de trabalho em váriosAWScontas. Você pode pensar emAWScontas como contêineres de recursos isolados: elas oferecem categorização da carga de trabalho, bem como redução do raio de explosão quando as coisas dão errado.

Definição de umAWSconta

UmaAWSconta atua como um contêiner de recursos e um limite de isolamento de recursos.

nota

UmaAWSconta não é o mesmo que uma conta de usuário, que é configurada por meio da Federação ouAWS Identity and Access Management(IAM).

Mais sobre oAWScontas

UmaAWSfornece a capacidade de isolar recursos e conter ameaças de segurança para oAWSworkloads. Uma conta também fornece um mecanismo para cobrança e governança de um ambiente de carga de trabalho.

OAWSaccount é o principal mecanismo de implementação para fornecer um contêiner de recursos para suas cargas de trabalho. Se o seu ambiente for bem arquitetado, você poderá gerenciar váriosAWScontas de forma eficaz e, portanto, gerenciam várias cargas de trabalho e ambientes.

O AWS Control Tower configura um ambiente bem arquitetado. Ele se baseiaAWScontas, junto comAWS Organizations, que ajudam a controlar as mudanças em seu ambiente que podem se estender por várias contas.

Definição de um ambiente bem arquitetado

AWSdefine um ambiente bem arquitetado como aquele que começa com uma landing zone.

O AWS Control Tower oferece uma landing zone configurada automaticamente. Ele impõe grades de proteção para garantir a conformidade com suas diretrizes corporativas, em várias contas em seu ambiente.

Definição de uma landing zone

A landing zone é um ambiente de nuvem que oferece um ponto de partida recomendado, incluindo contas padrão, estrutura de conta, layouts de rede e segurança e assim por diante. A partir de uma landing zone, você pode implantar cargas de trabalho que utilizam suas soluções e aplicativos.

Diretrizes para configurar um ambiente bem arquitetado

Os três principais componentes de um ambiente bem arquitetado, explicados nas seções a seguir, são:

  • VáriosAWScontas

  • Várias UOs)

  • Uma estrutura bem planejada

Usar várias contas da AWS

Uma conta não é suficiente para configurar um ambiente bem arquitetado. Ao usar várias contas, você pode apoiar melhor suas metas de segurança e processos de negócios. Aqui estão alguns benefícios de usar uma abordagem de várias contas:

  • Controles de segurança— Os aplicativos têm perfis de segurança diferentes, portanto, exigem políticas e mecanismos de controle diferentes. Por exemplo, é muito mais fácil falar com um auditor e apontar para uma única conta que hospeda a carga de trabalho do setor de cartões de pagamento (PCI).

  • Isolamento— Uma conta é uma unidade de proteção de segurança. Riscos potenciais e ameaças à segurança podem estar contidos em uma conta sem afetar outras pessoas. Portanto, as necessidades de segurança podem exigir que você isole as contas umas das outras. Por exemplo, você pode ter equipes com perfis de segurança diferentes.

  • Muitas equipes— As equipes têm diferentes responsabilidades e necessidades de recursos. Ao configurar várias contas, as equipes não podem interferir umas nas outras, como fariam ao usar a mesma conta.

  • Isolamento de Dados— isolar os armazenamentos de dados em uma conta ajuda a limitar o número de pessoas que têm acesso aos dados e podem gerenciar o armazenamento de dados. Esse isolamento ajuda a evitar a exposição não autorizada de dados altamente privados. Por exemplo, o isolamento de Regulamentação de Regulamentação de Regulamentação de Regulamentação (GDPR).

  • Processo de negócios— as unidades de negócios ou produtos geralmente têm finalidades e processos completamente diferentes. Contas individuais podem ser estabelecidas para atender às necessidades específicas da empresa.

  • Faturamento— Uma conta é a única maneira de separar itens em um nível de cobrança, incluindo coisas como cobranças de transferência e assim por diante. A estratégia de várias contas ajuda a criar itens faturáveis separados entre unidades de negócios, equipes funcionais ou usuários individuais.

  • Alocação de cotas–AWSas cotas são configuradas por conta. Separar cargas de trabalho em contas diferentes dá a cada conta (como um projeto) uma cota individual bem definida.

Use várias unidades organizacionais

O AWS Control Tower e outras estruturas de orquestração de contas podem fazer alterações que ultrapassam os limites da conta. Portanto, oAWSas práticas recomendadas tratam de alterações entre contas, que potencialmente podem quebrar um ambiente ou prejudicar sua segurança. Em alguns casos, as mudanças podem afetar o ambiente geral, além das políticas. Como resultado, recomendamos que você configure pelo menos duas contas obrigatórias, Produção e Preparação.

Além disso,AWSas contas geralmente são agrupadas em unidades organizacionais (OUs), para fins de governança e controle. As OUs são projetadas para lidar com a aplicação de políticas em várias contas.

Nossa recomendação é que, no mínimo, você crie um ambiente de pré-produção (ou preparação) diferente do ambiente de produção, com grades de proteção e políticas distintas. Os ambientes de produção e preparação podem ser criados e controlados como OUs separadas e cobrados como contas separadas. Além disso, é recomendável configurar uma UO do. O. O. O. O. O. O. O. O.

Use uma estrutura bem planejada para OUs em sua landing zone

O AWS Control Tower configura algumas OUs para você automaticamente. Conforme suas cargas de trabalho e requisitos se expandem com o tempo, você pode estender a configuração original da landing zone para atender às suas necessidades.

nota

Os nomes dados nos exemplos seguem o sugeridoAWSconvenções de nomenclatura para configurar uma conta múltiplaAWSambiente do. Você pode renomear suas OUs depois de configurar sua landing zone, selecionandoEditena página de detalhes da UO.

Recomendações do

Depois que a AWS Control Tower configurar a primeira UO necessária para você — a OU de segurança — recomendamos a criação de algumas OUs adicionais na sua landing zone.

Recomendamos que você permita que a AWS Control Tower crie pelo menos uma OU adicional, chamada de OU Sandbox. Essa OU é para seus ambientes de desenvolvimento de software. A AWS Control Tower pode configurar a OU Sandbox para você durante a criação landing zone, se você selecioná-la.

Duas outras OUs recomendadas que você pode configurar por conta própria: a OU de infraestrutura, para conter seus serviços compartilhados e contas de rede, e uma OU para conter suas cargas de trabalho de produção, chamada de UO de cargas de trabalho. Você pode adicionar outras UOs na por landing zone UOs na AWS Control Tower UOs na páginaUnidades organizacionais.

OUs recomendadas além das configuradas automaticamente

  • Infra-estrutura— Contém seus serviços compartilhados e contas de rede.

    nota

    O AWS Control Tower não configura a UO de infraestrutura para você.

  • Sandbox— Uma UO de desenvolvimento de software. Por exemplo, ele pode ter um limite de gastos fixo ou pode não estar conectado à rede de produção.

    nota

    A AWS Control Tower recomenda que você configure a OU Sandbox, mas ela é opcional. Ele pode ser configurado automaticamente como parte da configuração da sua landing zone.

  • Cargas de trabalho— Contém contas que executam suas cargas de trabalho.

    nota

    O AWS Control Tower não configura a UO de cargas de trabalho para você.

Exemplo de AWS Control Tower com uma estrutura completa de UO de várias contas

O AWS Control Tower oferece suporte a uma hierarquia de UO aninhada, o que significa que você pode criar uma estrutura hierárquica de UO que atenda aos requisitos da sua organização. Você pode criar um ambiente da AWS Control Tower para corresponder aoAWSorientação de estratégia de várias contas.

Você também pode criar uma estrutura de UO mais simples e plana que tenha um bom desempenho e se alinhe com oAWSorientação de várias contas. Só porque você pode construir uma estrutura hierárquica de UO, isso não significa que você deva fazer isso.

O diagrama na página vinculada mostra que mais OUs fundamentais e mais OUs adicionais foram criadas. Essas OUs atendem às necessidades adicionais de uma implantação maior.

Na coluna OUs fundamentais, duas OUs foram adicionadas à estrutura básica:

  • OU Security_Prod— fornece uma área somente leitura para políticas de segurança, bem como uma área de auditoria de segurança quebrável.

  • Infra-estrutura— você pode querer separar a OU de infraestrutura, recomendada anteriormente, em duas OUs, Infrastructure_Test (para infraestrutura de pré-produção) e Infrastructure_Prod (para infraestrutura de produção).

Na área OUs adicionais, várias outras OUs foram adicionadas à estrutura básica. Estas são as próximas OUs recomendadas a serem criadas à medida que seu ambiente cresce:

  • Cargas de trabalho— A OU de Cargas de Trabalho, recomendada anteriormente, mas opcional, foi separada em duas OUs, Workloads_Test (para cargas de trabalho de pré-produção) e Workloads_Prod (para cargas de trabalho de produção).

  • PolicyStaging OU— permite que os administradores do sistema testem suas alterações em grades de proteção e políticas antes de aplicá-las totalmente.

  • Suspender o— Oferece um local para contas que podem ter sido desativadas temporariamente.

Sobre a raiz

A raiz não é uma OU. É um contêiner para a conta de gerenciamento e para todas as OUs e contas em sua organização. Conceitualmente, a raiz contém todas as OUs. Ele não pode ser excluído. Você não pode controlar as contas registradas no nível raiz dentro da AWS Control Tower. Em vez disso, controle as contas inscritas em suas OUs. Para obter um diagrama útil, consulteaAWS Organizationsdocumentação.