Visão geral - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Visão geral

Trabalhamos com uma empresa farmacêutica multinacional para executar atividades proof-of-concept (PoC) eAWS explorar como eles poderiam migrar seus aplicativos do local paraNuvem AWS o. Quando começaram a escalar e acelerar seu fluxo de trabalho de migração para incluir cargas de trabalho de produção, ficou claro que precisavam de umaAWS landing zone regulamentada e compatível para apoiar sua meta. Costumávamos AWS Control Towerprojetar e implementar uma novaAWS landing zone.

Um aspecto importante de uma novaAWS landing zone e de sua organização é a estrutura de suas unidades organizacionais (OUs). Uma OU é um agrupamento lógico deContas da AWS criado usando AWS Organizations. Você pode usar OUs paraContas da AWS se organizar em uma hierarquia e aplicar controles de gerenciamento e governança de forma consistente e mais fácil.

Você pode anexar controles baseados em políticas a uma OU eContas da AWS a. As OUs secundárias dentro de uma OU herdam automaticamente esses controles. Portanto, as OUs desempenham um papel fundamental no gerenciamento de segurança e governança emAWS Organizations.

Uma política é um documento JSON que inclui uma ou mais declarações que definem os controles que você deseja aplicar a um grupo deContas da AWS. AWS Organizationsatualmente suporta quatro tipos de políticas, também conhecidas como políticas de controle de serviço (SCPs). Um SCP define as açõesServiços da AWS e que estão disponíveis para uso em diferentesContas da AWS. Por exemplo, é possível usar uma SCP para exigir que uma instância do Amazon Elastic Compute Cloud (Amazon EC2) seja iniciada para usar uma instância específica.

Tipos de políticas

Os tipos de política de SCP incluem o seguinte:

Comportamento de herança de políticas: quando você vincula uma política a uma OU específica, as contas que estão diretamente sob essa UO ou qualquer UO secundária herdam a política. Quando você anexa uma política a uma conta específica, a política afeta somente essa conta. Você pode sobrescrever políticas herdadas introduzindo políticas de exceção. A herança permite explicitamente que todas as permissões fluam da UO raiz (UO) para cadaConta da AWS UO e UO secundária, a menos que você negue explicitamente uma permissão. Para negar uma permissão, você cria uma política adicional e a anexa à OU apropriadaConta da AWS. Para obter mais informações sobre herança e exceções de políticas, consulte a AWS Organizationsdocumentação.

AWS Control Towertambém fornece seu próprio conjunto de controles preventivos e de detecção (também chamados de grades de proteção) usando a estrutura da UO. AWS Control Towercontroles preventivos evitam ações usando os SCPs emAWS Organizations. Os controles de Detective relatam o desvio configuracional em relação ao controle por meio do uso deAWS Config. Para obter mais informações sobre esses controles, consulte a AWS Control Towerdocumentação.

Você também pode AWS Security Hubautomatizar as verificações de melhores práticas de segurança, agregar alertas de segurança em um único local e formato e compreender a postura geral de segurança em todos os seusContas da AWS.