Projeto de OU: fase 2 - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Projeto de OU: fase 2

A empresa farmacêutica em nosso exemplo acelerou para uma nova fase de maturidade na nuvem ao implantar cargas de trabalho de produção qualificadas nas OUs existentes. Isso deu início a uma revisão do projeto inicial, e a estrutura da fase 1 foi desafiada à medida que mais cargas de trabalho migraram para aAWS landing zone regulamentada.

Os seguintes novos requisitos e insights se tornaram importantes:

  • A empresa implementou cargas de trabalho do modelo de compartilhamento de dados, de modo que os aplicativos adquiriram uma natureza multifuncional que não podia mais ser atribuída a OUs separadas, como clínicas ou de manufatura.

  • A qualificação (em particular, a qualificação contínua) tornou-se um aspecto vital de muitas cargas de trabalho. Essas cargas de trabalho precisavam ser integradas aos processos operacionais para que pudessem seguir as melhores práticas de segurança com mais facilidade. As cargas de trabalho qualificadas exigiamAWS controles mais rigorosos, que foram definidos no nível da UO na fase 1.

  • A funcionalidade de UO aninhada tornou-se disponível emAWS Control Tower.

  • A qualificação e a experiência resultaram em uma melhor compreensão de quais políticas específicas eram relevantes para cargas de trabalho.

  • A empresa definiu e concordou com um modelo operacional baseado no alinhamento de responsabilidades.

  • Os planos de segmentação e estruturação da carga de trabalho amadureceram e foram adotados para migrações de carga de trabalho.

Como resultado disso, um novo design foi implementado na fase 2 eContas da AWS migrado para essa nova estrutura. Essa nova estrutura inclui as UO descritas nas seções a seguir.

Design da arquitetura

O diagrama a seguir mostra a arquitetura UO para fase 2.


    Projeto de arquitetura para fase 2 da estrutura UO

UO

A OU de segurança estáContas da AWS relacionada amplamente à funcionalidade de segurança e usa duas contas (auditoria e arquivamento de registros) para armazenar dados operacionais de segurança para registro central e acesso de auditoria ao ambiente. AWSprincipais serviços de segurança, como Amazon, GuardDuty eAWS Security Hub residem na conta de auditoria. Essa OU permanece inalterada em relação ao design original.

UO

A Plataforma de Infraestrutura OU contém contas de infraestrutura fundamentais, como redes e automação compartilhada em toda aAWS landing zone. Essa OU permanece inalterada em relação ao design original.

UO

A OU qualificada contém cargas de trabalho que exigem uma infraestrutura qualificada, como gerenciamento rigoroso de mudanças, qualificação e validação.

OU não qualificada

A OU não qualificada contém cargas de trabalho que não têm requisitos de GxP ou não são essenciais para os negócios.

UO

O UO contém recursos compartilhados para automação de carga de trabalho, como integração e entrega contínuas (CI/CD) para gerenciamento de infraestrutura. Dependendo dos requisitos, a automação pode ser dividida entre ambientes ou hospedada em um único ambienteConta da AWS.

Exceções UO

A OU de exceções contém cargas de trabalho que exigem tratamento especial que, de outra forma, seriam evitadas por políticas. Por exemplo, buckets do Amazon Simple Storage Service (Amazon S3) amplamente acessíveis e legíveis pertenceriam na UO.

UO

A OU do Graveyard contém quatro cargasContas da AWS de trabalho que serão excluídas. As políticas dessas contas devem ser removidas para um acesso administrativo eficaz e simples até que a conta expire ou seja excluída.