Construindo uma landing zone

Você tem algumas opções para criar sua landing zone emAWS. Você pode escolher um serviço gerenciado para orquestrar seu ambiente ou trabalhar com um parceiro para criar o seu próprio.AWSofertasAWS Control Tower, um serviço gerenciado. Recomendamos que novos clientes comecem comAWS Control Tower. No entanto, é importante entender as diferenças e os recursos de cada abordagem para que você possa tomar a melhor decisão para sua organização.

Opções para zonas de pouso emAWS:

Mecanismo de entrega:

Benefícios e trade-offs para cada abordagem:

Solução	Benefícios	Trade-offs
AWS Control Tower	Serviço totalmente gerenciado AWS-guardrails fornecidos e políticas de conformidade aplicadas por padrão Painel central para monitoramento e status de conformidade Fábrica de contas para provisionamento de novas contas	Extensibilidade e personalização são fornecidas peloPersonalizações paraAWS Control Towersolução. AWS Control TowerO é compatível noAWSRegiões mostradas noAWSLista de serviços regionais.
AWS Organizationscom uma solução personalizada criada pelo cliente ou parceiro	Solução personalizada	O cliente ou parceiro possui todo o desenvolvimento e codificação. O cliente ou parceiro é responsável pela integração e implementação.

Todas as ofertas de ambiente com várias contas são alimentadas porAWS Organizations.AWS Organizationsfornece a infraestrutura e os recursos subjacentes para você criar e gerenciar seuAWSEnvironment. comAWS Organizations, você pode tomar as orientações de estratégia de várias contas fornecidas porAWSE personalizar seu ambiente de acordo com suas necessidades de negócios. Se você já for um cliente existente e estiver satisfeito com sua atualAWS Organizationsimplementação, você deve continuar operando sua atualAWSEnvironment.

AWS Control Tower

AWS Control TowerÉ executado como umAWSserviço gerenciado. Quando você está procurando por uma solução de ambiente pré-embalada pronta para uso, você pode usarAWS Control Towerpara orientação prescritiva e um ambiente totalmente gerenciado. O serviço configura uma landing zone com base nas melhores práticas de várias contas, centraliza o gerenciamento de identidade e acesso e estabelece regras de governança pré-configuradas para segurança e conformidade.

AWS Control Towerautomatiza a configuração de uma nova landing zone usando práticas recomendadas, blueprints para identidade, acesso federado e estrutura de conta. Alguns dos projetos implementados emAWS Control TowerIncluir:

• Um ambiente de várias contas usandoAWS Organizations

• Gerenciamento de identidades usandoAWS IAM Identity Center (successor to AWS Single Sign-On)(IAM Identity Center) diretório padrão

• Registro em log centralizado deAWS CloudTrail, eAWS Configarmazenado no Amazon Simple Storage Service (Amazon S3)

• Auditorias de segurança entre contas usandoAWS Identity and Access Management(IAM) eIAM Identity Center

Guardrails são regras de alto nível que fornecem governança contínua para o seu geralAWSEnvironment. Guardrails podem ser preventivos ou detetive. Proteções preventivas são implementadas usando políticas de controle de serviço (SCPs), que fazem parte doAWS Organizations. Guardrails de Detective são implementados usandoAWS Config RuleseAWS LambdaFunções do . Exemplos deAWS Control TowerIncluindo:

• Não permitir a criação de chaves de acesso para o usuário raiz

• Não permitir conexão com a Internet por meio do RDP

• Não permitir acesso de gravação pública a buckets do S3

• Não permitir volumes do Amazon Elastic Block Store (Amazon EBS) que são desanexados a uma instância do Amazon Elastic Compute Cloud (Amazon EC2)

nota

AWS Control Toweré um ponto de partida para uma landing zone. Você precisa determinar sua estratégia de rede, gerenciamento de acesso e segurança com base em seus requisitos exclusivos à medida que você constrói sua landing zone.

landing zone personalizada

Você pode optar por criar sua própria solução de landing zone personalizada. Nesse caso, você precisa implementar o ambiente de linha de base para começar a usar o gerenciamento de identidade e acesso, governança, segurança de dados, design de rede e registro em log. Recomendamos essa abordagem se você quiser criar todos os componentes do seu ambiente do zero ou se você tiver requisitos que somente uma solução personalizada pode suportar. Você deve ter experiência suficiente emAWSpara gerenciar, atualizar, manter e operar a solução depois de implantada.

No entanto, antes de avançar com um design personalizado de landing zone, recomendamos considerarAWS Control Towerfirst.AWS Control Towerfoi personalizado e usado por muitos clientes em todos os setores para implantar cargas de trabalho com sucesso emAWS. SeAWS Control Towernão atende às suas necessidades de personalização, tenteAWSZona de pouso. Esta é uma implementação de landing zone baseada emAWS CloudFormation.

Abordagem recomendada

Recomendamos que todas as novas zonas de pouso comecem comAWS Control Tower.AWS Control Towerajuda você a criar uma configuração inicial de landing zone prescritiva, usar pronto para usoproteçõese blueprints e crie novas contas usandoAWS Control Towerfábrica de contas.

Se você precisar de guardrails e blueprints personalizados, consultePersonalizações paraAWS Control TowerPara personalizar seuAWS Control Towerlanding zone. Esta implementação de referência se integra comAWS Control Towerrecurso de notificações e eventos de ciclo de vida para empurrar personalizações landing zone em resposta ao aplicávelAWS Control Towereventos de ciclo de vida.

Se você é um existenteAWS Control Towercliente, você tem ambos nativosAWS Control Towereventos de ciclo de vida e a implementação de referência para personalização disponível para atender às suas necessidades de personalização. Tudo o que você precisa fazer é implantar a implementação de referência doAWS CloudFormationmodelo em seu existenteAWS Control Towerconta.