Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Présentation
Nous avons travaillé avec une société pharmaceutique multinationale pour mener des activités proof-of-concept (PoC) AWS afin d'explorer comment elle pourrait migrer ses applications sur site vers le AWS Cloud. Lorsqu'ils ont commencé à adapter et à accélérer leur flux de migration pour inclure les charges de travail de production, il est devenu évident qu'ils avaient besoin d'une zone d' AWS atterrissage réglementée et conforme pour atteindre leur objectif. Nous avions AWS Control Towerl'habitude de concevoir et de mettre en œuvre une nouvelle zone AWS d'atterrissage.
Un aspect important d'une nouvelle zone AWS d'atterrissage et de son organisation est la structure de ses unités organisationnelles (OUs). Une UO est un regroupement logique de personnes Comptes AWS créé à l'aide de AWS Organizations. Vous pouvez l'utiliser OUs pour vous organiser Comptes AWS en hiérarchie et appliquer des contrôles de gestion et de gouvernance de manière cohérente et plus facile.
Vous pouvez associer des contrôles basés sur des politiques à une unité d'organisation et à Comptes AWS. L'enfant OUs au sein d'une unité d'organisation hérite automatiquement de ces contrôles. Par conséquent, OUs jouez un rôle essentiel dans la gestion de la sécurité et de la gouvernance dans AWS Organizations.
Une politique est un document JSON qui inclut une ou plusieurs instructions qui définissent les contrôles que vous souhaitez appliquer à un groupe de Comptes AWS. AWS Organizations prend actuellement en charge quatre types de politiques, également appelées politiques de contrôle des services (SCPs). Un SCP définit les actions Services AWS et les actions qui peuvent être utilisées dans différents Comptes AWS domaines. Par exemple, vous pouvez utiliser un SCP pour exiger que les lancements d'instances Amazon Elastic Compute Cloud (Amazon EC2) utilisent un type d'instance spécifique.
Types de politique
Les types de politiques SCP sont les suivants :
-
Les listes d'autorisation et de refus sont des stratégies complémentaires que vous pouvez SCPs appliquer pour filtrer les autorisations accordées aux comptes.
-
Les politiques relatives aux balises vous aident à maintenir la cohérence des balises, notamment en ce qui concerne le traitement préférentiel des clés de balise et des valeurs des balises sur tous les comptes.
-
Les politiques de sauvegarde configurent les sauvegardes pour les types de ressources pris en charge, tels que la fenêtre temporelle de la sauvegarde et les coffres-forts de destination pour les sauvegardes entre elles. Régions AWS
-
Les politiques de désinscription des services d'intelligence artificielle permettent ou désactivent l'amélioration continue des services d'intelligence AWS artificielle (IA) dans le monde entier.
Comportement en matière d'héritage des politiques : lorsque vous associez une politique à une unité d'organisation spécifique, les comptes situés directement sous cette unité d'organisation ou toute unité d'organisation enfant héritent de la politique. Lorsque vous associez une politique à un compte spécifique, elle ne concerne que ce compte. Vous pouvez remplacer les politiques héritées en introduisant des politiques d'exception. L'héritage autorise explicitement le transfert de toutes les autorisations depuis la racine (OU) vers toutes les Compte AWS unités de cette unité d'organisation et de cette unité d'organisation enfant, sauf si vous refusez explicitement une autorisation. Pour refuser une autorisation, vous créez une politique supplémentaire et vous l'associez à l'unité d'organisation appropriée ou Compte AWS. Pour plus d'informations sur l'héritage des politiques et les exceptions, consultez la AWS Organizations documentation.
AWS Control Tower fournit également son propre ensemble de contrôles de détection et de prévention (également appelés garde-corps) en utilisant la structure de l'UO. AWS Control Tower les contrôles préventifs empêchent les actions en utilisant l' SCPs entrée AWS Organizations. Les commandes Detective signalent toute dérive de configuration par rapport à la commande en utilisant AWS Config. Pour plus d'informations sur ces contrôles, consultez la AWS Control Tower documentation.
Vous pouvez également automatiser les vérifications AWS Security Hub CSPMdes meilleures pratiques de sécurité, regrouper les alertes de sécurité en un seul endroit et dans un seul format, et comprendre le niveau de sécurité global de l'ensemble de vos activités Comptes AWS.
