Organização e estrutura de contas da AWS SRA - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Organização e estrutura de contas da AWS SRA

Influencie o futuro da Arquitetura de Referência de AWS Segurança (AWSSRA) respondendo a uma breve pesquisa.

O diagrama a seguir captura a estrutura de alto nível do AWS SRA sem exibir serviços específicos. Ela reflete a estrutura de contas dedicada discutida na seção anterior, e incluímos o diagrama aqui para orientar a discussão em torno dos componentes principais da arquitetura:

  • Todas as contas mostradas no diagrama fazem parte de uma única organização da AWS.

  • No canto superior esquerdo do diagrama está a conta de gerenciamento da organização, que é usada para criar a organização da AWS.

  • Abaixo da conta de gerenciamento da organização está a OU de segurança com duas contas específicas: uma para o Security Tooling e outra para o Log Archive.

  • No lado direito está a UO de Infraestrutura com a conta de Rede e a conta de Serviços Compartilhados.

  • Na parte inferior do diagrama está a UO de cargas de trabalho, que está associada a uma conta de aplicativo que abriga o aplicativo corporativo.

Para essa orientação, todas as contas são consideradas contas de produção (produtivas) que operam em uma única região da AWS. A maioria dos serviços da AWS (exceto os serviços globais) tem escopo regional, o que significa que os planos de controle e dados do serviço existem de forma independente em cada região da AWS. Por esse motivo, você deve replicar essa arquitetura em todas as regiões da AWS que planeja usar, para garantir a cobertura de todo o seu cenário da AWS. Se você não tiver nenhuma carga de trabalho em uma região específica da AWS, desative a região usando SCPs ou usando mecanismos de registro e monitoramento. Você pode usar o AWS Security Hub para agregar descobertas e pontuações de segurança de várias regiões da AWS em uma única região de agregação para visibilidade centralizada.

Ao hospedar uma organização da AWS com um grande conjunto de contas, é vantajoso ter uma camada de orquestração que facilite a implantação e a governança da conta. O AWS Control Tower oferece uma maneira simples de configurar e governar um ambiente de várias contas da AWS. As amostras de código do AWS SRA no GitHubrepositório demonstram como você pode usar a solução Customizations for AWS Control Tower (cFCT) para implantar estruturas recomendadas pelo AWS SRA.

Estrutura de alto nível do AWS SRA (sem serviços)