Construindo uma zona de pouso

Você tem algumas opções para criar sua zona de pouso no AWS. Você pode escolher um serviço gerenciado para orquestrar seu ambiente ou trabalhar com um parceiro para criar o seu próprio. O AWS oferece o AWS Control Tower, um serviço gerenciado. Recomendamos que novos clientes comecem com o AWS Control Tower. No entanto, é importante entender as diferenças e os recursos de cada abordagem para que você possa tomar a melhor decisão para sua organização.

Opções para zonas de pouso no AWS:

Mecanismo de entrega:

Benefícios e desvantagens de cada abordagem:

Solução	Benefícios	Trade-offs
AWS Control Tower	Serviço totalmente gerenciado Proteções fornecidas pelo AWS e políticas de conformidade aplicadas por padrão Painel central para monitoramento e status de conformidade Fábrica de contas para provisionamento de novas contas	A extensibilidade e a personalização são fornecidas pelas Personalizações da solução do AWS Control Tower. O AWS Control Tower é suportado nas regiões AWS mostradas na Lista de serviços regionais AWS.
AWS Organizations com uma solução personalizada criada pelo cliente ou parceiro	Solução personalizada	O cliente ou parceiro é dono de todo o desenvolvimento e codificação. O cliente ou parceiro é responsável pela integração e implementação.

Todas as ofertas de ambientes de várias contas são fornecidas pelo AWS Organizations. O AWS Organizations fornece a infraestrutura e os recursos subjacentes para você criar e gerenciar seu ambiente AWS. Com o AWS Organizations, você mesmo pode seguir a orientação estratégica de várias contas fornecida pelo AWS e personalizar seu ambiente para melhor atender às suas necessidades comerciais. Se você já é um cliente e está satisfeito com sua implementação atual do AWS Organizations, deve continuar operando seu ambiente AWS atual.

AWS Control Tower

O AWS Control Tower é executado como um serviço AWS gerenciado. Quando você está procurando uma solução de ambiente pré-embalada pronta para uso, você pode usar o AWS Control Tower para obter orientação prescritiva e um ambiente totalmente gerenciado. O serviço configura uma zpna de pouso com base nas melhores práticas de várias contas, centraliza o gerenciamento de identidade e acesso e estabelece regras de governança pré-configuradas para segurança e conformidade.

O AWS Control Tower automatiza a configuração de uma nova zona de pouso usando as práticas recomendadas, esquemas de identidade, acesso federado e estrutura de contas. Alguns dos planos implementados no AWS Control Tower incluem:

• Um ambiente com várias contas usando o AWS Organizations

• Auditorias de segurança entre contas usando o AWS Identity and Access Management (IAM) e o AWS IAM Identity Center

• Gerenciamento de identidade usando o diretório padrão do Identity Center

• Registro de log centralizado do AWS CloudTrail, e AWS Config armazenado no Amazon Simple Storage Service (Amazon S3)

Barreiras de proteção são regras de alto nível que fornecem governança contínua para o seu ambiente AWS geral. As grades de proteção podem ser preventivas ou detectivas. As proteções preventivas são implementadas usando políticas de controle de serviço (SCPs), que fazem parte do AWS Organizations. As barreiras de proteção de detecção são implementadas usando funções Regras do AWS Config e AWS Lambda. Exemplos de barreiras de proteção AWS Control Tower incluem:

• Não permitir a criação de chaves de acesso para o usuário raiz

• Desautorizar conexão com a Internet via RDP

• Desautorizar o acesso público de gravação a buckets S3

• Proibir volumes do Amazon Elastic Block Store (Amazon EBS) que não estejam anexados a uma instância do Amazon Elastic Compute Cloud (Amazon EC2)

nota

O AWS Control Tower é um ponto de partida para uma zona de pouso. Você precisa determinar sua estratégia de rede, gerenciamento de acesso e segurança com base em seus requisitos exclusivos à medida que constrói sua zona de pouso.

Zona de pouso personalizada

Você pode escolher criar sua própria solução personalizada de zona de pouso. Nesse caso, você precisa implementar o ambiente básico para começar com o gerenciamento de identidade e acesso, governança, segurança de dados, design de rede e registro. Recomendamos essa abordagem se você quiser criar todos os componentes do seu ambiente do zero ou se tiver requisitos que somente uma solução personalizada pode suportar. Você deve ter experiência suficiente no AWS para gerenciar, atualizar, manter e operar a solução depois de implantada.

No entanto, antes de avançar com um design personalizado de zona de pouso, recomendamos que você considere o AWS Control Tower primeiro. O AWS Control Tower foi personalizado e usado por muitos clientes em todos os setores para implantar cargas de trabalho com sucesso no AWS. Se o AWS Control Tower não atender às suas necessidades de personalização, experimente a Zona de pouso do AWS. Esta é uma implementação de zona de pouso baseada em AWS CloudFormation.

(Abordagem recomendada)

Recomendamos que todas as novas zonas de pouso comecem com o AWS Control Tower. O AWS Control Tower ajuda você a criar uma configuração inicial prescritiva de zona de pouso, usar barreiras de proteção e plantas prontas para uso e criar novas contas usando a Fábrica de contas do AWS Control Tower.

Se você precisar de barreiras de proteção e plantas personalizadas, consulte Personalizações para o AWS Control Tower personalizar sua zona de pouso do AWS Control Tower. Essa implementação de referência se integra aos eventos do AWS Control Tower do ciclo de vida e ao recurso de notificações para promover as personalizações da zona de pouso em resposta aos eventos de ciclo de vida AWS Control Tower aplicáveis.

Se você já é um cliente AWS Control Tower , tem eventos de ciclo de vida AWS Control Tower nativos e a implementação de referência para personalização disponíveis para atender às suas necessidades de personalização. Tudo o que você precisa fazer é implantar o modelo do AWS CloudFormation da implementação de referência em sua conta AWS Control Tower existente.