Construindo uma zona de pouso

Você tem algumas opções para criar sua landing zone AWS. Você pode escolher um serviço gerenciado para orquestrar seu ambiente ou trabalhar com um parceiro para criar o seu próprio. AWS ofertas AWS Control Tower, um serviço gerenciado. Recomendamos que todos os usuários comecem com AWS Control Tower. No entanto, é importante entender as diferenças e os recursos de cada abordagem para que você possa tomar a melhor decisão para sua organização.

Opções para zonas de pouso em AWS:

• AWS Control Tower

• Zona de pouso personalizada

Mecanismo de entrega:

Benefícios e desvantagens de cada abordagem:

Solução	Benefícios	Trade-offs
AWS Control Tower	Serviço totalmente gerenciado. AWS-os controles fornecidos e as políticas de conformidade são aplicados por padrão. Fornece um painel central para monitoramento e status de conformidade. Fornece o Account Factory para provisionar novas contas. Algumas personalizações (como seleção de região e controles opcionais) estão disponíveis no console.	Extensibilidade e personalização adicionais são fornecidas pelas Customizations for AWS Control Tower (cFct) e Account Factory for Terraform (). AFT AWS Control Tower é suportado nas AWS regiões mostradas na lista de serviços AWS regionais.
AWS Organizations com uma solução personalizada criada pelo cliente ou parceiro	Solução personalizada.	O cliente ou parceiro é dono de todo o desenvolvimento e codificação. O cliente ou parceiro é responsável pela integração e implementação.

Todas as ofertas de ambientes de várias contas são fornecidas por. AWS Organizations AWS Organizations fornece a infraestrutura e os recursos subjacentes para você criar e gerenciar seu AWS ambiente. Com AWS Organizations, você mesmo pode seguir a orientação estratégica de várias contas fornecida por AWS e personalizar seu ambiente para melhor atender às suas necessidades comerciais. Se você já é um cliente e está satisfeito com sua AWS Organizations implementação atual, deve continuar operando seu AWS ambiente atual.

AWS Control Tower

AWS Control Tower é executado como um serviço AWS gerenciado. Quando você está procurando uma solução de ambiente pré-embalada pronta para uso, você pode usá-la AWS Control Tower para obter orientação prescritiva e um ambiente totalmente gerenciado. O serviço configura uma zpna de pouso com base nas melhores práticas de várias contas, centraliza o gerenciamento de identidade e acesso e estabelece regras de governança pré-configuradas para segurança e conformidade.

AWS Control Tower automatiza a configuração de uma nova landing zone usando as melhores práticas, esquemas de identidade, acesso federado e estrutura de contas. Alguns dos planos implementados no AWS Control Tower incluem:

• Um ambiente com várias contas usando AWS Organizations

• Auditorias de segurança entre contas usando AWS Identity and Access Management () IAM e AWS IAM Identity Center

• Gerenciamento de identidade usando o diretório padrão do Identity Center

• Registro centralizado e AWS Config armazenado no Amazon Simple Storage Service (Amazon S3) AWS CloudTrail

Os controles são regras de alto nível que fornecem governança contínua para seu AWS ambiente geral. Os controles podem ser preventivos ou detectivos. Os controles preventivos são implementados usando políticas de controle de serviço (SCPs), que fazem parte do AWS Organizations. Os controles de detetive são implementados usando. AWS Config Exemplos de AWS Control Tower controles incluem:

• Não permitir a criação de chaves de acesso para o usuário raiz

• Proibir conexão com a Internet por meio de RDP

• Desautorizar o acesso público de gravação a buckets S3

• Proibir volumes do Amazon Elastic Block Store (AmazonEBS) que não estejam conectados a uma instância do Amazon Elastic Compute Cloud (Amazon) EC2

nota

AWS Control Tower é um ponto de partida para um landing zone. Você precisa determinar sua estratégia de rede, gerenciamento de acesso e segurança com base em seus requisitos exclusivos à medida que constrói sua zona de pouso.

Zona de pouso personalizada

Você pode escolher criar sua própria solução personalizada de zona de pouso. Nesse caso, você implementa o ambiente básico para começar com gerenciamento de identidade e acesso, governança, segurança de dados, design de rede e registro. Recomendamos essa abordagem se você quiser criar todos os componentes do seu ambiente do zero ou se tiver requisitos que somente uma solução personalizada pode suportar. Você deve ter experiência suficiente AWS para gerenciar, atualizar, manter e operar a solução depois de implantada.

(Abordagem recomendada)

Recomendamos que você comece AWS Control Tower a construir sua landing zone. AWS Control Tower ajuda você a criar uma configuração inicial prescritiva de landing zone, usar out-of-the-box controles e plantas e criar novas contas usando o Account Factory AWS Control Tower .

Durante a configuração, você pode personalizar sua landing zone a partir do AWS Control Tower console. Para obter detalhes, consulte a AWS Control Tower documentação. Depois de configurar sua landing zone básica, use uma dessas opções para aprimorá-la e personalizá-la ainda mais:

• Use Personalizações para AWS Control Tower (cFct), que fornece amplas opções de personalização por meio de AWS CloudFormation modelos e políticas de controle de serviço (). SCPs Para obter mais informações, consulte a documentação do AWS Control Tower.

• Use o Landing Zone Accelerator (LZA) para aprimorar sua zona de pouso e alinhá-la às estruturas de conformidade. Para obter mais informações, consulte o guia de LZA implementação.