View a markdown version of this page

OU-Design: Phase 2 - AWS Präskriptive Leitlinien
Architektur-DesignSicherheits-OUInfrastrukturplattform OUQualifizierte OrganisationseinheitNicht qualifizierte OrganisationseinheitAutomatisierungen (OU)Ausnahmen OUGraveyard OU

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

OU-Design: Phase 2

Das Pharmaunternehmen in unserem Beispiel hat eine neue Phase der Cloud-Reife erreicht, indem es qualifizierte Produktionsworkloads in die bestehenden Systeme einbaute. OUs Dies leitete eine Überprüfung des ursprünglichen Entwurfs ein, und die Struktur der Phase 1 wurde in Frage gestellt, da mehr Arbeitslasten in die regulierte AWS landing zone verlagert wurden.

Die folgenden neuen Anforderungen und Erkenntnisse wurden wichtig:

  • Das Unternehmen implementierte Workloads nach dem Modell für die gemeinsame Nutzung von Daten, sodass die Anwendungen vielseitig einsetzbar waren und nicht mehr separaten Anwendungen OUs wie dem klinischen Bereich oder der Fertigung zugewiesen werden konnten.

  • Qualifizierung (insbesondere fortlaufende Qualifizierung) wurde zu einem wichtigen Aspekt vieler Arbeitsbelastungen. Diese Workloads mussten in die betrieblichen Abläufe integriert werden, damit sie sich leichter an bewährte Sicherheitsverfahren halten konnten. Qualifizierte Workloads erforderten strengere AWS Kontrollen, die in Phase 1 auf OU-Ebene festgelegt wurden.

  • Funktionen für verschachtelte Organisationseinheiten wurden in verfügbar. AWS Control Tower

  • Weiterqualifizierung und Erfahrung führten zu einem besseren Verständnis darüber, welche spezifischen Richtlinien für Workloads relevant waren.

  • Das Unternehmen definierte und vereinbarte ein Betriebsmodell, das auf der Abstimmung der Zuständigkeiten beruhte.

  • Die Pläne zur Segmentierung und Strukturierung von Workloads waren ausgereift und wurden für Workload-Migrationen übernommen.

Infolgedessen wurde in Phase 2 ein neues Design implementiert und auf diese neue Struktur AWS-Konten migriert. Diese neue Struktur umfasst die in den folgenden Abschnitten OUs beschriebenen Elemente.

Architektur-Design

Das folgende Diagramm zeigt die OU-Architektur für Phase 2.

Architekturentwurf für Phase 2 der OU-Struktur

Sicherheits-OU

Die Sicherheits-OU enthält Funktionen, die sich auf die Sicherheit AWS-Konten beziehen, und verwendet zwei Konten (Audit und Log Archive), um betriebliche Sicherheitsdaten für die zentrale Protokollierung und Überwachung des Zugriffs auf die Umgebung zu speichern. AWS zentrale Sicherheitsdienste wie Amazon GuardDuty und AWS Security Hub CSPM befinden sich im Prüfkonto. Diese Organisationseinheit bleibt gegenüber dem ursprünglichen Design unverändert.

Infrastrukturplattform OU

Die Infrastructure Platform OU enthält grundlegende Infrastrukturkonten wie Netzwerke und gemeinsame Automatisierung in der gesamten AWS landing zone. Diese Organisationseinheit bleibt gegenüber dem ursprünglichen Design unverändert.

Qualifizierte Organisationseinheit

Die qualifizierte Organisationseinheit umfasst Workloads, die eine qualifizierte Infrastruktur erfordern, wie z. B. strenges Änderungsmanagement, Qualifizierung und Validierung.

Nicht qualifizierte Organisationseinheit

Die nicht qualifizierte Organisationseinheit enthält Workloads, für die keine GxP-Anforderungen gelten oder die nicht geschäftskritisch sind.

Automatisierungen (OU)

Die Automations OU enthält gemeinsam genutzte Ressourcen für die Workload-Automatisierung, z. B. CI/CD-Pipelines (Continuous Integration und Continuous Delivery) für das Infrastrukturmanagement. Je nach Anforderung kann die Automatisierung entweder auf mehrere Umgebungen aufgeteilt oder in einer einzigen Umgebung gehostet werden. AWS-Konto

Ausnahmen OU

Die Organisationseinheit „Ausnahmen“ enthält Workloads, für die eine besondere Behandlung erforderlich ist und die andernfalls durch Richtlinien verhindert würden. Beispielsweise würden allgemein zugängliche und lesbare Amazon Simple Storage Service (Amazon S3) -Buckets in die OU Exceptions gehören.

Graveyard OU

Die Graveyard-Organisationseinheit enthält vier Workloads, AWS-Konten die gelöscht werden. Die Richtlinien in diesen Konten sollten entfernt werden, um einen effektiven und einfachen Administratorzugriff zu gewährleisten, bis das Konto abläuft oder gelöscht wird.