AWS estratégia de várias contas para sua landing zone do AWS Control Tower

Os clientes do AWS Control Tower geralmente buscam orientação sobre como configurar seu AWS ambiente e suas contas para obter melhores resultados.AWS criou um conjunto unificado de recomendações, chamado de estratégia de várias contas, para ajudar você a fazer o melhor uso de seus AWS recursos, incluindo sua landing zone do AWS Control Tower.

Essencialmente, o AWS Control Tower atua como uma camada de orquestração que funciona com outros AWS serviços, que ajudam você a implementar as recomendações de AWS várias contas para AWS contas e. AWS OrganizationsDepois que sua landing zone for configurada, o AWS Control Tower continuará ajudando você a manter suas políticas corporativas e práticas de segurança em várias contas e cargas de trabalho.

A maioria das zonas de pouso se desenvolve com o tempo. À medida que o número de unidades organizacionais (OUs) e contas na sua landing zone da AWS Control Tower aumenta, você pode estender a implantação da AWS Control Tower de forma a ajudar a organizar suas cargas de trabalho de forma eficaz. Este capítulo fornece orientação prescritiva sobre como planejar e configurar sua landing zone do AWS Control Tower, em alinhamento com a estratégia de AWS várias contas, e estendê-la ao longo do tempo.

Para uma discussão geral sobre as melhores práticas para unidades organizacionais, consulte Melhores práticas para unidades organizacionais com AWS Organizations.

AWS estratégia de várias contas: orientação sobre as melhores práticas

AWS as melhores práticas para um ambiente bem arquitetado recomendam que você separe seus recursos e cargas de trabalho em várias contas. AWS Você pode pensar AWS nas contas como contêineres de recursos isolados: elas oferecem categorização da carga de trabalho, bem como redução do raio de explosão quando as coisas dão errado.

Definição de uma AWS conta

Uma AWS conta atua como um contêiner de recursos e um limite de isolamento de recursos.

nota

Uma AWS conta não é o mesmo que uma conta de usuário, que é configurada por meio da Federação ou AWS Identity and Access Management (IAM).

Mais sobre AWS contas

Uma AWS conta oferece a capacidade de isolar recursos e conter ameaças à segurança de suas AWS cargas de trabalho. Uma conta também fornece um mecanismo para cobrança e governança de um ambiente de carga de trabalho.

A AWS conta é o principal mecanismo de implementação para fornecer um contêiner de recursos para suas cargas de trabalho. Se seu ambiente for bem arquitetado, você poderá gerenciar várias AWS contas com eficiência e, assim, gerenciar várias cargas de trabalho e ambientes.

O AWS Control Tower configura um ambiente bem arquitetado. Além disso, ele depende de AWS contas que ajudam a controlar mudanças em seu ambiente que podem se estender a várias contas. AWS Organizations

Definição de um ambiente bem arquitetado

AWS define um ambiente bem arquitetado como aquele que começa com uma landing zone.

O AWS Control Tower oferece uma landing zone que é configurada automaticamente. Ele impõe controles para garantir a conformidade com suas diretrizes corporativas em várias contas em seu ambiente.

Definição de landing zone

O landing zone é um ambiente de nuvem que oferece um ponto de partida recomendado, incluindo contas padrão, estrutura de contas, layouts de rede e segurança, etc. A partir de uma landing zone, você pode implantar cargas de trabalho que utilizam suas soluções e aplicativos.

Diretrizes para configurar um ambiente bem arquitetado

Os três componentes principais de um ambiente bem arquitetado, explicados nas seções a seguir, são:

• Várias AWS contas

• Várias unidades organizacionais (OUs)

• Uma estrutura bem planejada

Use várias contas da AWS

Uma conta não é suficiente para configurar um ambiente bem arquitetado. Ao usar várias contas, você pode oferecer melhor suporte às suas metas de segurança e processos comerciais. Aqui estão alguns benefícios de usar uma abordagem de várias contas:

• Controles de segurança — Os aplicativos têm perfis de segurança diferentes, portanto, exigem políticas e mecanismos de controle diferentes. Por exemplo, é muito mais fácil falar com um auditor e apontar para uma única conta que hospeda a carga de trabalho do setor de cartões de pagamento (PCI).

• Isolamento — Uma conta é uma unidade de proteção de segurança. Riscos potenciais e ameaças à segurança podem estar contidos em uma conta sem afetar outras pessoas. Portanto, as necessidades de segurança podem exigir que você isole as contas umas das outras. Por exemplo, você pode ter equipes com perfis de segurança diferentes.

• Muitas equipes — As equipes têm responsabilidades e necessidades de recursos diferentes. Ao configurar várias contas, as equipes não podem interferir umas nas outras, como fariam ao usar a mesma conta.

• Isolamento de dados — isolar os armazenamentos de dados em uma conta ajuda a limitar o número de pessoas que têm acesso aos dados e podem gerenciar o armazenamento de dados. Esse isolamento ajuda a evitar a exposição não autorizada de dados altamente privados. Por exemplo, o isolamento de dados ajuda a apoiar a conformidade com o Regulamento Geral de Proteção de Dados (GDPR).

• Processo de negócios — unidades de negócios ou produtos geralmente têm finalidades e processos completamente diferentes. Contas individuais podem ser estabelecidas para atender às necessidades específicas da empresa.

• Faturamento — Uma conta é a única maneira de separar itens em um nível de faturamento, incluindo itens como taxas de transferência e assim por diante. A estratégia de várias contas ajuda a criar itens faturáveis separados entre unidades de negócios, equipes funcionais ou usuários individuais.

• Alocação de cotas — as AWS cotas são configuradas por conta. A separação das cargas de trabalho em contas diferentes dá a cada conta (como um projeto) uma cota individual bem definida.

Use várias unidades organizacionais

O AWS Control Tower e outras estruturas de orquestração de contas podem fazer alterações que ultrapassam os limites da conta. Portanto, as AWS melhores práticas tratam de mudanças em várias contas, que podem potencialmente prejudicar um ambiente ou prejudicar sua segurança. Em alguns casos, as mudanças podem afetar o ambiente geral, além das políticas. Como resultado, recomendamos que você configure pelo menos duas contas obrigatórias, Produção e Preparação.

Além disso, AWS as contas geralmente são agrupadas em unidades organizacionais (OUs), para fins de governança e controle. As OUs são projetadas para lidar com a aplicação de políticas em várias contas.

Nossa recomendação é que, no mínimo, você crie um ambiente de pré-produção (ou preparação) diferente do seu ambiente de produção, com controles e políticas distintos. Os ambientes de produção e preparação podem ser criados e administrados como OUs separadas e cobrados como contas separadas. Além disso, talvez você queira configurar uma OU Sandbox para testes de código.

Use uma estrutura bem planejada para OUs em sua landing zone

O AWS Control Tower configura algumas OUs para você automaticamente. À medida que suas cargas de trabalho e requisitos se expandem com o tempo, você pode estender a configuração original do landing zone para atender às suas necessidades.

nota

Os nomes fornecidos nos exemplos seguem as convenções de AWS nomenclatura sugeridas para configurar um ambiente com várias AWS contas. Você pode renomear suas OUs depois de configurar sua landing zone, selecionando Editar na página de detalhes da OU.

Recomendações

Depois que o AWS Control Tower configurar a primeira OU necessária para você — a OU de segurança —, recomendamos criar algumas OUs adicionais em sua landing zone.

Recomendamos que você permita que o AWS Control Tower crie pelo menos uma OU adicional, chamada Sandbox OU. Essa OU é para seus ambientes de desenvolvimento de software. O AWS Control Tower pode configurar a OU Sandbox para você durante a criação da landing zone, se você a selecionar.

Duas outras OUs recomendadas que você pode configurar por conta própria: a OU de infraestrutura, para conter seus serviços compartilhados e contas de rede, e uma OU para conter suas cargas de trabalho de produção, chamada de OU de cargas de trabalho. Você pode adicionar outras OUs em sua landing zone por meio do console do AWS Control Tower na página de unidades organizacionais.

OUs recomendadas, além das configuradas automaticamente

• Infraestrutura OU — contém seus serviços compartilhados e contas de rede.

  nota

  O AWS Control Tower não configura a OU de infraestrutura para você.

• Sandbox OU — Uma OU de desenvolvimento de software. Por exemplo, ele pode ter um limite fixo de gastos ou pode não estar conectado à rede de produção.

  nota

  O AWS Control Tower recomenda que você configure a OU Sandbox, mas ela é opcional. Ele pode ser configurado automaticamente como parte da configuração da sua landing zone.

• Cargas de trabalho OU — contém contas que executam suas cargas de trabalho.

  nota

  O AWS Control Tower não configura a OU de cargas de trabalho para você.

Para obter mais informações, consulte Organização inicial de produção com o AWS Control Tower.

Exemplo do AWS Control Tower com uma estrutura completa de OU com várias contas

O AWS Control Tower oferece suporte a uma hierarquia de OU aninhada, o que significa que você pode criar uma estrutura hierárquica de OU que atenda aos requisitos da sua organização. Você pode criar um ambiente do AWS Control Tower de acordo com a orientação estratégica de AWS várias contas.

Você também pode criar uma estrutura de OU mais simples e plana que tenha um bom desempenho e esteja alinhada com a orientação de AWS várias contas. Só porque você pode criar uma estrutura hierárquica de OU, isso não significa que você deva fazer isso.

• Para ver um diagrama que mostra um exemplo de conjunto de OUs em um ambiente expandido e plano do AWS Control Tower com orientação para AWS várias contas, consulte Exemplo: cargas de trabalho em uma estrutura plana de OU.

• Para obter mais informações sobre como o AWS Control Tower funciona com estruturas de OU aninhadas, consulteOUs aninhadas na AWS Control Tower.

• Para obter mais informações sobre como o AWS Control Tower se alinha à AWS orientação, consulte o AWS white paper Organizing Your AWS Environment Using Multiple Accounts.

O diagrama na página vinculada mostra que mais OUs básicas e mais OUs adicionais foram criadas. Essas OUs atendem às necessidades adicionais de uma implantação maior.

Na coluna OUs básicas, duas OUs foram adicionadas à estrutura básica:

• Security_Prod OU — Fornece uma área somente de leitura para políticas de segurança, bem como uma área de auditoria de segurança incomparável.

• UO de infraestrutura — Talvez você queira separar a OU de infraestrutura, recomendada anteriormente, em duas OUs, Infrastructure_Test (para infraestrutura de pré-produção) e Infrastructure_Prod (para infraestrutura de produção).

Na área de OUs adicionais, várias outras OUs foram adicionadas à estrutura básica. A seguir estão as próximas OUs recomendadas para criar à medida que seu ambiente cresce:

• UO de cargas de trabalho — A OU de cargas de trabalho, recomendada anteriormente, mas opcional, foi separada em duas OUs, Workloads_Test (para cargas de trabalho de pré-produção) e Workloads_Prod (para cargas de trabalho de produção).

• PolicyStaging OU — Permite que os administradores do sistema testem suas alterações nos controles e políticas antes de aplicá-las totalmente.

• OU suspensa — Oferece um local para contas que podem ter sido desativadas temporariamente.

Sobre o Root

A raiz não é uma OU. É um contêiner para a conta de gerenciamento e para todas as OUs e contas da sua organização. Conceitualmente, a raiz contém todas as OUs. Ele não pode ser excluído. Você não pode controlar contas inscritas no nível raiz dentro do AWS Control Tower. Em vez disso, controle as contas inscritas em suas OUs. Para obter um diagrama útil, consulte a AWS Organizations documentação.