AWS Organizations y la estructura de cuentas dedicadas - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Organizations y la estructura de cuentas dedicadas

Encuesta

Nos encantaría saber su opinión. Responda a una breve encuesta para enviar sus comentarios sobre AWS PRA.

AWS Organizations es un servicio de administración de cuentas que le permite administrar y gestionar varias Cuentas de AWS de forma centralizada. El uso de AWS Organizations es la base de un entorno de AWS con varias cuentas y bien diseñado. Para obtener más información, consulte Establishing your best practice AWS environment.

En el siguiente diagrama se muestra la estructura de las cuentas y las unidades organizativas (UO) de alto nivel de AWS PRA. En su mayoría, la estructura de la organización de AWS PRA coincide con la estructura de la organización de AWS SRA.

La estructura de cuentas de la Arquitectura de referencia de seguridad de AWS en AWS Organizations.

Las desviaciones con respecto a la organización de AWS SRA son las siguientes:

  • AWS PRA agrega la UO de datos personales (PD), que se dedica a recopilar, almacenar y procesar datos personales. Esta separación estructural proporciona flexibilidad para que pueda definir controles específicos y detallados que ayuden a proteger los datos personales de la revelación no intencionada.

  • En este momento, en la UO de infraestructura, AWS PRA no incluye ninguna guía adicional para la cuenta de servicios compartidos que se describe en AWS SRA.

  • Actualmente, AWS PRA no incluye ninguna guía adicional para la UO de cargas de trabajo que se describe en AWS SRA. Las aplicaciones que recopilan o procesan datos personales se encuentran en cuentas específicas en la UO de datos personales.

Puede utilizar AWS Control Tower para aplicar una gobernanza básica general y para la implementación automatizada de los controles de seguridad y privacidad en toda su organización. Si su organización no utiliza AWS Control Tower en este momento, puede implementar muchos de los controles de seguridad y privacidad en AWS Control Tower, como las políticas de control de servicio y las reglas de AWS Config, en sus respectivos servicios.

Puede que le ayude valorar el procesamiento de los datos personales al planificar su estructura de cuentas y UO, incluida una estrategia de segmentación de cuentas. Es posible que deba tener en cuenta los tipos de datos que procesa en función de sus casos de uso específicos y de la legislación y normativas aplicables. Por ejemplo, los datos de los titulares de las tarjetas están protegidos por el Estándar de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS) y la información sobre la salud protegida puede estar sujeta a la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) de EE. UU. Tal vez quiera revisar qué entornos contienen datos personales y planificar su estrategia de segmentación basándose en gran medida en ello. Las estrategias de segmentación de cuentas típicas pueden incluir Cuentas de AWS específicas que se adapten al ciclo de vida del desarrollo del software (SDLC), como cuentas dedicadas al desarrollo, las pruebas o el control de calidad (QA) y la producción. Una estrategia de segmentación de este estilo puede ser un componente crucial en el debate general sobre el diseño, y es posible que las UO deban ajustarse a sus requisitos normativos específicos.

Algunos entornos de AWS con varias cuentas necesitan cuentas de aplicaciones específicas para cada Región de AWS o pueden necesitar zonas de aterrizaje de varias cuentas. En este caso, necesita una segmentación adicional para cumplir con los requisitos exclusivos de soberanía de datos en relación con sus clientes y los organismos reguladores. Para obtener más información, consulte la sección Preparación de estrategias para la expansión global de esta guía.