Estrutura de contas dedicada

Influencie o futuro da Arquitetura de Referência de AWS Segurança (AWSSRA) respondendo a uma breve pesquisa

Uma conta da AWS fornece limites de segurança, acesso e cobrança para seus recursos da AWS e permite que você alcance independência e isolamento de recursos. Por padrão, nenhum acesso é permitido entre contas.

Ao projetar sua OU e estrutura de contas, comece com a segurança e a infraestrutura em mente. Recomendamos criar um conjunto de OUs fundamentais para essas funções específicas, divididas em OUs de infraestrutura e segurança. Essas recomendações de UO e de contas abrangem um subconjunto de nossas diretrizes mais amplas e abrangentes para o AWS Organizations e o design de estruturas de várias contas. Para obter um conjunto completo de recomendações, consulte Organizando seu ambiente da AWS usando várias contas na documentação da AWS e na postagem do blog Best Practices for Organizational Units with AWS Organizations.

O AWS SRA utiliza as seguintes contas para realizar operações de segurança efetivas na AWS. Essas contas dedicadas ajudam a garantir a separação de tarefas, oferecem suporte a diferentes políticas de governança e acesso para diferentes tipos de aplicativos e dados e ajudam a mitigar o impacto de um evento de segurança. Nas discussões a seguir, nos concentraremos nas contas de produção (produção) e nas cargas de trabalho associadas. As contas do ciclo de vida de desenvolvimento de software (SDLC) (geralmente chamadas de contas de desenvolvimento e teste) são destinadas à preparação de resultados e podem operar sob um conjunto de políticas de segurança diferente das contas de produção.

Conta	OU	Função de segurança
Gerenciamento	—	Governança e gerenciamento centrais de todas as regiões e contas da AWS. A conta da AWS que hospeda a raiz da organização da AWS.
Ferramentas de segurança	Segurança	Contas dedicadas da AWS para operar serviços de segurança amplamente aplicáveis (como Amazon GuardDuty, AWS Security Hub, AWS Audit Manager, Amazon Detective, Amazon Inspector e AWS Config), monitorar contas da AWS e automatizar alertas e respostas de segurança. (No AWS Control Tower, o nome padrão da conta na OU de segurança é Conta de auditoria.)
Arquivo de registros	Segurança	Contas dedicadas da AWS para ingerir e arquivar todos os registros e backups de todas as regiões e contas da AWS. Isso deve ser projetado como armazenamento imutável.
Rede	infraestrutura	O gateway entre seu aplicativo e a Internet em geral. A conta de rede isola os serviços, a configuração e a operação de rede mais amplos das cargas de trabalho de aplicativos individuais, da segurança e de outras infraestruturas.
Serviços compartilhados	infraestrutura	Essa conta oferece suporte aos serviços que vários aplicativos e equipes usam para fornecer seus resultados. Os exemplos incluem serviços de diretório do Identity Center (Active Directory), serviços de mensagens e serviços de metadados.
Aplicação	Workloads	Contas da AWS que hospedam os aplicativos da organização da AWS e executam as cargas de trabalho. (Às vezes, são chamadas de contas de carga de trabalho.) As contas de aplicativos devem ser criadas para isolar os serviços de software em vez de serem mapeadas para suas equipes. Isso torna o aplicativo implantado mais resiliente às mudanças organizacionais.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

A conta de gerenciamento, o acesso confiável e os administradores delegados

Organização e estrutura de contas da AWS SRA