Projeto de OU: fase 1 - Recomendações da AWS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Projeto de OU: fase 1

Para a empresa farmacêutica multinacional em nosso exemplo, o design inicial das organizações e OUs seguiu de AWS Organizations perto AWS as recomendações de configuraçãoAWS Control Tower. Por exemplo, consulte o Landing Zone Accelerator on AWS for Healthcare. AWS Control Towerinicialmente provisionou uma estrutura de OU simples com OUs fundamentais comuns, conforme descrito na postagem do blog Melhores práticas para unidades organizacionais com AWS Organizations, incluindo a OU de segurança, a OU de infraestrutura de plataforma e OUs específicas da empresa.

Design da arquitetura

O diagrama a seguir mostra a arquitetura inicial da OU.


    Projeto de arquitetura para a fase 1 da estrutura da OU

Segurança OU

A OU de segurança agrupa amplamente os Contas da AWS relacionados à funcionalidade de segurança e usa duas contas (auditoria e arquivamento de registros) para armazenar dados operacionais de segurança para acesso central de registros e auditoria ao ambiente. AWSos principais serviços de segurança, como Amazon GuardDuty , AWS Security Hub residem na conta de auditoria.

Plataforma de infraestrutura OU

A Plataforma de Infraestrutura OU agrupa Contas da AWS os grupos que fornecem a base da infraestrutura. Inicialmente implantados nessa OU estão os componentes Contas da AWS de rede central (gateways, firewalls, hub de rede central e serviços similares). 

OUs adicionais

Outras OUs específicas da empresa (como uma OU clínica) aumentam as OUs fundamentais dentro de uma hierarquia de baixo nível. As cargas de trabalho são implementadas com uma estrutura de várias contas e com ambientes separados dentro dessas OUs.

Várias considerações impulsionaram esse design inicial:

  • As OUs aninhadas não estavam disponíveis naquele momento AWS Control Tower e exigiam ampla personalização.

  • As cargas de trabalho iniciais designadas para a nuvem se concentraram em aspectos específicos da empresa, como testes clínicos ou análise de equipamentos de manufatura (visualizações funcionais).

  • A empresa diferencia entre cinco ambientes de carga de trabalho (desenvolvimento, validação, integração, treinamento e produção). A empresa precisava de um playground para desenvolver aplicativos sem a governança rígida por meio dos AWS controles exigidos pelas cargas de trabalho de produção. OUs de desenvolvimento, como a OU Manufacturing-Dev, foram designadas para essa finalidade.

  • A automação da carga de trabalho fazia parte do ecossistema de cada aplicativo e não precisava ser separada.

  • Os processos de qualificação de infraestrutura (IQ) e conformidade com GxP não exigiam uma distinção de AWS controles no nível da OU.