Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Estructura de cuentas dedicadas
| Influya en el futuro de la arquitectura de referencia de AWS seguridad (AWS SRA) realizando una breve encuesta |
An Cuenta de AWS proporciona límites de seguridad, acceso y facturación para sus AWS recursos, y le permite lograr la independencia y el aislamiento de los recursos. De forma predeterminada, no se permite el acceso entre cuentas.
Al diseñar su unidad organizativa y su estructura contable, comience teniendo en cuenta la seguridad y la infraestructura. Recomendamos crear un conjunto de elementos fundamentales OUs para estas funciones específicas, divididos en infraestructura y seguridad OUs. Estas recomendaciones sobre cuentas y unidades organizativas reflejan un subconjunto de nuestras directrices más amplias AWS Organizations y completas para el diseño de estructuras multicuentas. Para obtener un conjunto completo de recomendaciones, consulte Cómo organizar el AWS entorno con varias cuentas en la AWS
documentación y en la entrada del blog Prácticas recomendadas para las unidades organizativas
La AWS SRA utiliza las siguientes cuentas para llevar a cabo operaciones de seguridad eficaces en. AWS Estas cuentas dedicadas ayudan a garantizar la separación de funciones, respaldan diferentes políticas de gobierno y acceso para diferentes aplicaciones y datos confidenciales y ayudan a mitigar el impacto de un incidente de seguridad. En los debates que siguen, nos centraremos en las cuentas de producción (de producción) y sus cargas de trabajo asociadas. Las cuentas del ciclo de vida del desarrollo de software (SDLC) (que suelen denominarse cuentas de desarrollo y de prueba) están diseñadas para organizar los resultados y pueden funcionar con un conjunto de políticas de seguridad diferente al de las cuentas de producción.
Cuenta |
OU |
Función de seguridad |
|---|---|---|
Administración
|
— |
Gobierno y administración centrales de todas Regiones de AWS las cuentas terrestres. El Cuenta de AWS que aloja la raíz de la AWS organización. |
Herramientas de seguridad |
Seguridad |
Dedicado a Cuentas de AWS operar servicios de seguridad de amplia aplicación (como GuardDuty Security Hub CSPM, Audit Manager, Detective, Amazon Inspector y AWS Config) Cuentas de AWS, monitorear y automatizar las alertas y respuestas de seguridad. (En AWS Control Tower, el nombre predeterminado de la cuenta en la OU de seguridad es Cuenta de auditoría). |
Archivo de registro |
Seguridad |
Cuentas de AWS Dedicada a ingerir y archivar todos los registros y copias de seguridad para todos Regiones de AWS y. Cuentas de AWS Esto debe diseñarse como un almacenamiento inmutable. |
Network |
Infraestructura |
La puerta de enlace entre su aplicación y el resto de Internet. La cuenta de red aísla los servicios de red, la configuración y el funcionamiento más generales de las cargas de trabajo de las aplicaciones individuales, la seguridad y otras infraestructuras. |
Servicios compartidos |
Infraestructura |
Esta cuenta admite los servicios que utilizan varias aplicaciones y equipos para ofrecer sus resultados. Algunos ejemplos son los servicios de directorio de Identity Center (Active Directory), los servicios de mensajería y los servicios de metadatos. |
Aplicación |
Cargas de trabajo |
Cuentas de AWS que alojan las aplicaciones de la AWS organización y realizan las cargas de trabajo. (A veces se denominan cuentas de carga de trabajo). Las cuentas de aplicaciones deben crearse para aislar los servicios de software, en lugar de asignarlas a sus equipos. Esto hace que la aplicación implementada sea más resistente a los cambios organizativos. |
