AWS organización y estructura contable de la AWS SRA - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS organización y estructura contable de la AWS SRA

Influya en el futuro de la arquitectura de referencia de AWS seguridad (AWS SRA) realizando una breve encuesta.

El siguiente diagrama captura la estructura de alto nivel de la AWS SRA sin mostrar servicios específicos. Refleja la estructura de cuentas dedicadas analizada en la sección anterior, e incluimos el diagrama aquí para orientar el análisis en torno a los componentes principales de la arquitectura:

  • Todas las cuentas que se muestran en el diagrama forman parte de una sola AWS organización.

  • En la parte superior izquierda del diagrama se encuentra la cuenta de administración de la organización, que se utiliza para crear la AWS organización.

  • Debajo de la cuenta de administración de la organización se encuentra la unidad organizativa de seguridad con dos cuentas específicas: una para Security Tooling y otra para Log Archive.

  • En el lado derecho se encuentra la unidad organizativa de infraestructura con la cuenta de red y la cuenta de Shared Services.

  • En la parte inferior del diagrama se encuentra la unidad organizativa Workloads, que está asociada a una cuenta de aplicación que aloja la aplicación empresarial.

Según esta guía, todas las cuentas se consideran cuentas de producción (producción) que funcionan en una sola cuenta. Región de AWS La mayoría Servicios de AWS (excepto los servicios globales) tienen un ámbito regional, lo que significa que los planos de control y datos del servicio existen de forma independiente en cada uno de ellos. Región de AWS Por este motivo, debe replicar esta arquitectura en todos los dispositivos Regiones de AWS que vaya a utilizar, a fin de garantizar la cobertura de todo AWS su entorno. Si no tiene ninguna carga de trabajo en un lugar específico Región de AWS, debe deshabilitar la región utilizando SCPso utilizando mecanismos de registro y supervisión. Puede usar Security Hub CSPM para agregar hallazgos y puntuaciones de seguridad de varias regiones de agregación Regiones de AWS a una sola región de agregación para obtener una visibilidad centralizada.

Cuando se aloja una AWS organización con un gran conjunto de cuentas, resulta beneficioso contar con una capa de organización que facilite el despliegue y el gobierno de las cuentas. AWS Control Tower ofrece una forma sencilla de configurar y gestionar un entorno de AWS múltiples cuentas. Los ejemplos de código AWS SRA del GitHub repositorio muestran cómo se puede utilizar la solución Customizations for AWS Control Tower (cFCT) para implementar AWS las estructuras recomendadas por la SRA.

Estructura de alto nivel de la AWS SRA (sin servicios).