AWS Organisation und Kontostruktur der AWS SRA - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Organisation und Kontostruktur der AWS SRA

Beeinflussen Sie die future der AWS Security Reference Architecture (AWS SRA), indem Sie an einer kurzen Umfrage teilnehmen.

Das folgende Diagramm zeigt die allgemeine Struktur der AWS SRA, ohne dass spezifische Dienste angezeigt werden. Es spiegelt die Struktur der speziellen Konten wider, die im vorherigen Abschnitt erörtert wurde, und wir fügen das Diagramm hier hinzu, um die Diskussion auf die Hauptkomponenten der Architektur zu konzentrieren:

  • Alle Konten, die im Diagramm dargestellt werden, sind Teil einer einzigen AWS Organisation.

  • In der oberen linken Ecke des Diagramms befindet sich das Org Management-Konto, mit dem die AWS Organisation erstellt wird.

  • Unter dem Org Management-Konto befindet sich die Security OU mit zwei spezifischen Konten: eines für Security Tooling und das andere für Log Archive.

  • Auf der rechten Seite befindet sich die Infrastruktur-OU mit dem Netzwerkkonto und dem Shared Services-Konto.

  • Am unteren Rand des Diagramms befindet sich die Organisationseinheit Workloads, die einem Anwendungskonto zugeordnet ist, in dem sich die Unternehmensanwendung befindet.

Für diese Anleitung gelten alle Konten als Produktionskonten (Produktionskonten), die in einem einzigen System betrieben werden. AWS-Region Die meisten AWS-Services (mit Ausnahme globaler Dienste) sind regional ausgerichtet, was bedeutet, dass die Steuerungs- und Datenebene für den Dienst jeweils unabhängig voneinander existieren. AWS-Region Aus diesem Grund müssen Sie diese Architektur auf alle Bereiche replizieren AWS-Regionen , die Sie verwenden möchten, um sicherzustellen, dass Ihre gesamte Landschaft abgedeckt ist. AWS Wenn Sie in einem bestimmten Bereich keine Workloads haben AWS-Region, sollten Sie die Region mithilfe SCPsoder mithilfe von Protokollierungs- und Überwachungsmechanismen deaktivieren. Sie können Security Hub CSPM verwenden, um Ergebnisse und Sicherheitsbewertungen aus mehreren Aggregationsregionen zu aggregieren AWS-Regionen , um eine zentrale Sichtbarkeit zu gewährleisten.

Wenn Sie ein AWS Unternehmen mit einer großen Anzahl von Konten hosten, ist es von Vorteil, über eine Orchestrierungsebene zu verfügen, die die Kontobereitstellung und Kontoverwaltung erleichtert. AWS Control Tower bietet eine einfache Möglichkeit, eine Umgebung mit AWS mehreren Konten einzurichten und zu verwalten. Die AWS SRA-Codebeispiele im GitHub Repository zeigen, wie Sie die Customizations for AWS Control Tower (cFcT) -Lösung verwenden können, um von SRA empfohlene Strukturen bereitzustellen AWS .

Struktur der AWS SRA auf hoher Ebene (ohne Dienste).