AWSestratégia de várias contas para sua landing zone da AWS Control Tower

Os clientes da AWS Control Tower geralmente buscam orientação sobre como configurar seuAWS ambiente e suas contas para obter melhores resultados. AWScriou um conjunto unificado de recomendações, chamado de estratégia de várias contas, para ajudá-lo a fazer o melhor uso de seusAWS recursos, incluindo sua zona de aterrissagem da AWS Control Tower.

Essencialmente, a AWS Control Tower atua como uma camada de orquestração que funciona com outrosAWS serviços, que ajudam você a implementar as recomendações deAWS váriasAWS contas para contasAWS Organizations e. Depois que sua landing zone for configurada, a AWS Control Tower continuará ajudando você a manter suas políticas corporativas e práticas de segurança em várias contas e cargas de trabalho.

A maioria das zonas de pouso se desenvolve com o tempo. À medida que o número de unidades organizacionais (OUs) e contas em sua landing zone da AWS Control Tower aumenta, você pode estender sua implantação da AWS Control Tower de forma a ajudar a organizar suas cargas de trabalho de forma eficaz. Este capítulo fornece orientação prescritiva sobre como planejar e configurar sua landing zone da AWS Control Tower, de acordo com a estratégia deAWS várias contas, e estendê-la ao longo do tempo.

Para uma discussão geral sobre as melhores práticas para unidades organizacionais, consulte Melhores práticas para unidades organizacionais comAWS Organizations.

AWSestratégia de várias contas: orientação sobre as melhores práticas

AWSas melhores práticas para um ambiente bem arquitetado recomendam que você separe seus recursos e cargas de trabalho em váriasAWS contas. Você pode pensarAWS nas contas como contêineres de recursos isolados: elas oferecem categorização da carga de trabalho, bem como redução do raio de explosão quando algo dá errado.

Definição de umaAWS conta

UmaAWS conta atua como um contêiner de recursos e um limite de isolamento de recursos.

nota

UmaAWS conta não é igual a uma conta de usuário, que é configurada por meio de Federação ouAWS Identity and Access Management (IAM).

Mais sobreAWS contas

UmaAWS conta oferece a capacidade de isolar recursos e conter ameaças à segurança de suasAWS cargas de trabalho. Uma conta também fornece um mecanismo para cobrança e governança de um ambiente de carga de trabalho.

AAWS conta é o principal mecanismo de implementação para fornecer um contêiner de recursos para suas cargas de trabalho. Se seu ambiente for bem arquitetado, você poderá gerenciar váriasAWS contas de forma eficaz e, assim, gerenciar várias cargas de trabalho e ambientes.

A AWS Control Tower configura um ambiente bem arquitetado. Além disso, ele depende deAWS contas que ajudam a controlar mudanças em seu ambiente que podem se estender por várias contas.AWS Organizations

Definição de um ambiente bem arquitetado

AWSdefine um ambiente bem arquitetado como aquele que começa com uma landing zone.

A AWS Control Tower oferece uma landing zone que é configurada automaticamente. Ele impõe controles para garantir a conformidade com suas diretrizes corporativas em várias contas em seu ambiente.

Definição de zona de aterrissagem

A landing zone é um ambiente em nuvem que oferece um ponto de partida recomendado, incluindo contas padrão, estrutura de contas, layouts de rede e segurança e assim por diante. A partir de uma landing zone, você pode implantar cargas de trabalho que utilizam suas soluções e aplicativos.

Diretrizes para configurar um ambiente bem arquitetado

Os três principais componentes de um ambiente bem arquitetado, explicados nas seções a seguir, são:

• VáriasAWS contas

• Várias unidades organizacionais (UOs)

• Uma estrutura bem planejada

Use várias contas da AWS

Uma conta não é suficiente para configurar um ambiente bem arquitetado. Ao usar várias contas, você pode melhor apoiar suas metas de segurança e seus processos de negócios. Aqui estão alguns benefícios de usar uma abordagem de várias contas:

• Controles de segurança — Os aplicativos têm perfis de segurança diferentes, portanto, exigem políticas e mecanismos de controle diferentes. Por exemplo, é muito mais fácil conversar com um auditor e apontar para uma única conta que hospeda a carga de trabalho do setor de cartões de pagamento (PCI).

• Isolamento — Uma conta é uma unidade de proteção de segurança. Riscos potenciais e ameaças à segurança podem estar contidos em uma conta sem afetar outras pessoas. Portanto, as necessidades de segurança podem exigir que você isole as contas umas das outras. Por exemplo, você pode ter equipes com diferentes perfis de segurança.

• Muitas equipes — As equipes têm responsabilidades e necessidades de recursos diferentes. Ao configurar várias contas, as equipes não podem interferir umas nas outras, como fariam ao usar a mesma conta.

• Isolamento de dados — isolar os armazenamentos de dados em uma conta ajuda a limitar o número de pessoas que têm acesso aos dados e podem gerenciar o armazenamento de dados. Esse isolamento ajuda a evitar a exposição não autorizada de dados altamente privados. Por exemplo, o isolamento de dados ajuda a apoiar o cumprimento do Regulamento de Proteção de Dados (GDPR).

• Processo de negócios — Unidades de negócios ou produtos geralmente têm propósitos e processos completamente diferentes. Contas individuais podem ser estabelecidas para atender às necessidades específicas da empresa.

• Faturamento — Uma conta é a única maneira de separar itens em um nível de cobrança, incluindo despesas de transferência e assim por diante. A estratégia de várias contas ajuda a criar itens faturáveis separados entre unidades de negócios, equipes funcionais ou usuários individuais.

• Alocação deAWS cotas — as cotas são configuradas por conta. A separação das cargas de trabalho em contas diferentes dá a cada conta (como um projeto) uma cota individual bem definida.

Use várias unidades organizacionais

A AWS Control Tower e outras estruturas de orquestração de contas podem fazer alterações que ultrapassam os limites da conta. Portanto, asAWS melhores práticas abordam mudanças entre contas, o que potencialmente pode prejudicar um ambiente ou prejudicar sua segurança. Em alguns casos, as mudanças podem afetar o ambiente geral, além das políticas. Por isso, recomendamos que você configure pelo menos duas contas obrigatórias, Production e Staging.

Além disso,AWS as contas geralmente são agrupadas em unidades organizacionais (OUs), para fins de governança e controle. As OUs são projetadas para lidar com a aplicação de políticas em várias contas.

Nossa recomendação é que, no mínimo, você crie um ambiente de pré-produção (ou preparação) diferente do seu ambiente de produção, com controles e políticas distintos. Os ambientes de produção e preparação podem ser criados e controlados como OUs separadas e faturados como contas separadas. Além disso, talvez você queira configurar uma OU Sandbox para testes de código.

Use uma estrutura bem planejada para OUs em sua landing zone

A AWS Control Tower configura algumas OUs automaticamente para você. À medida que suas cargas de trabalho e requisitos se expandem com o tempo, você pode estender a configuração original da landing zone para atender às suas necessidades.

nota

Os nomes fornecidos nos exemplos seguem as convenções deAWS nomenclatura sugeridas para configurar umAWS ambiente de várias contas. Você pode renomear suas OUs depois de configurar sua landing zone, selecionando Editar na página de detalhes da UO.

Recomendações

Depois que a AWS Control Tower configurar a primeira OU necessária para você — a UO de segurança — recomendamos criar algumas OUs adicionais em sua landing zone.

Recomendamos que você permita que a AWS Control Tower crie pelo menos uma OU adicional, chamada Sandbox OU. Essa UO é para seus ambientes de desenvolvimento de software. A AWS Control Tower pode configurar a OU do Sandbox para você durante a criação landing zone, se você selecioná-la.

Duas outras OUs recomendadas que você pode configurar por conta própria: a OU de infraestrutura, para conter seus serviços compartilhados e contas de rede, e uma OU para conter suas cargas de trabalho de produção, chamada de OU de cargas de trabalho. Você pode adicionar UOs adicionais em sua landing zone por meio do console da AWS Control Tower na página de unidades organizacionais.

OUs recomendadas, além das configuradas automaticamente

• Infraestrutura OU — Contém seus serviços compartilhados e contas de rede.

  nota

  A AWS Control Tower não configura a UO de infraestrutura para você.

• Sandbox OU — Uma OU de desenvolvimento de software. Por exemplo, ele pode ter um limite de gastos fixo ou pode não estar conectado à rede de produção.

  nota

  A AWS Control Tower recomenda que você configure a OU Sandbox, mas ela é opcional. Ele pode ser configurado automaticamente como parte da configuração da sua landing zone.

• Cargas de trabalho OU — Contém contas que executam suas cargas de trabalho.

  nota

  A AWS Control Tower não configura a OU de cargas de trabalho para você.

Para obter mais informações, consulte Organização inicial de produção com a AWS Control Tower.

Exemplo de AWS Control Tower com uma estrutura completa de UO para várias contas

O AWS Control Tower suporta uma hierarquia de UO aninhada, o que significa que você pode criar uma estrutura hierárquica de UO que atenda aos requisitos da sua organização. Você pode criar um ambiente de AWS Control Tower que corresponda à orientação estratégica deAWS várias contas.

Você também pode criar uma estrutura de UO mais simples e plana que tenha um bom desempenho e esteja alinhada com a orientação deAWS várias contas. Só porque você pode criar uma estrutura hierárquica de OU, isso não significa que você deva fazer isso.

• Para ver um diagrama que mostra um exemplo de conjunto de OUs em um ambiente expandido e plano de AWS Control Tower com orientação paraAWS várias contas, consulte Exemplo: cargas de trabalho em uma estrutura de UO plana.

• Para obter mais informações sobre como o AWS Control Tower funciona com estruturas UOs aninhadas, consulteUO aninhado.

• Para obter mais informações sobre como a AWS Control Tower se alinha àAWS orientação, consulte oAWS white paper, Organizando seuAWS ambiente usando várias contas.

O diagrama na página vinculada mostra que mais OUs fundamentais e mais OUs adicionais foram criadas. Essas OUs atendem às necessidades adicionais de uma implantação maior.

Na coluna UOs fundamentais, duas OUs foram adicionadas à estrutura básica:

• Security_Prod OU — Fornece uma área somente de leitura para políticas de segurança, bem como uma área de auditoria de segurança que quebra vidros.

• UO de infraestrutura — Talvez você deseje separar a OU de infraestrutura, recomendada anteriormente, em duas OUs, Infrastructure_Test (para infraestrutura de pré-produção) e Infrastructure_Prod (para infraestrutura de produção).

Na área de OUs adicionais, várias outras OUs foram adicionadas à estrutura básica. Estas são as próximas OUs recomendadas para criar à medida que seu ambiente cresce:

• OU de cargas de trabalho — A OU de cargas de trabalho, recomendada anteriormente, mas opcional, foi separada em duas OUs, Workloads_Test (para cargas de trabalho de pré-produção) e Workloads_Prod (para cargas de trabalho de produção).

• PolicyStaging OU — Permite que os administradores do sistema testem suas alterações nos controles e políticas antes de aplicá-las totalmente.

• OU suspensa — Oferece um local para contas que podem ter sido desativadas temporariamente.

Sobre o raiz

A raiz não é uma OU. É um contêiner para a conta de gerenciamento e para todas as OUs e contas em sua organização. Conceitualmente, a raiz contém todas as OUs. Ele não pode ser excluído. Você não pode controlar contas cadastradas no nível raiz na AWS Control Tower. Em vez disso, controle as contas registradas em suas OUs. Para obter um diagrama útil, consulte aAWS Organizations documentação.