View a markdown version of this page

Conception de l'unité d'exploitation : phase 2 - AWS Conseils prescriptifs
Conception de l'architectureUO de sécuritéPlateforme d'infrastructure OUOU qualifiéOU non qualifiéAutomatisations ouExceptions ouCimetière (États-Unis)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Conception de l'unité d'exploitation : phase 2

Dans notre exemple, l'entreprise pharmaceutique est entrée dans une nouvelle phase de maturité du cloud en déployant des charges de production qualifiées dans le système existant OUs. Cela a entraîné une révision de la conception initiale, et la structure de la phase 1 a été remise en question car de plus en plus de charges de travail ont migré vers la zone d' AWS atterrissage réglementée.

Les nouvelles exigences et connaissances suivantes sont devenues importantes :

  • L'entreprise a mis en œuvre des charges de travail basées sur des modèles de partage de données, de sorte que les applications ont acquis un caractère polyvalent qui ne pouvait plus être dissocié, OUs comme les applications cliniques ou les applications de fabrication.

  • La qualification (en particulier la qualification continue) est devenue un aspect essentiel de nombreuses charges de travail. Ces charges de travail devaient être intégrées aux processus opérationnels afin de pouvoir suivre plus facilement les meilleures pratiques en matière de sécurité. Les charges de travail qualifiées nécessitaient des AWS contrôles plus stricts, qui ont été définis au niveau de l'UO lors de la phase 1.

  • La fonctionnalité de l'unité d'organisation imbriquée est devenue disponible dans. AWS Control Tower

  • Le renforcement des compétences et l'expérience ont permis de mieux comprendre quelles politiques spécifiques étaient pertinentes pour les charges de travail.

  • La société a défini et approuvé un modèle opérationnel basé sur l'alignement des responsabilités.

  • Les plans de segmentation et de structuration de la charge de travail ont évolué et ont été adoptés pour les migrations de charge de travail.

En conséquence, un nouveau design a été mis en œuvre dans la phase 2 et Comptes AWS migré vers cette nouvelle structure. Cette nouvelle structure inclut les éléments OUs décrits dans les sections suivantes.

Conception de l'architecture

Le schéma suivant montre l'architecture de l'UO pour la phase 2.

Conception de l'architecture pour la phase 2 de la structure de l'UO

UO de sécurité

L'UO de sécurité contient des fonctionnalités Comptes AWS liées de manière générale à la sécurité et utilise deux comptes (Audit et Log Archive) pour stocker les données opérationnelles de sécurité afin de centraliser la journalisation et l'audit de l'accès à l'environnement. AWS services de sécurité de base tels qu'Amazon GuardDuty et AWS Security Hub CSPM résidant dans le compte d'audit. Cette UO reste inchangée par rapport à la conception originale.

Plateforme d'infrastructure OU

L'unité d'organisation de la plateforme d'infrastructure contient des comptes d'infrastructure de base tels que le réseau et l'automatisation partagée dans la zone AWS d'atterrissage. Cette UO reste inchangée par rapport à la conception originale.

OU qualifié

L'unité d'organisation qualifiée contient des charges de travail qui nécessitent une infrastructure qualifiée, telle qu'une gestion rigoureuse des modifications, une qualification et une validation.

OU non qualifié

L'unité d'organisation non qualifiée contient des charges de travail qui ne répondent pas aux exigences GxP ou qui ne sont pas critiques pour l'entreprise.

Automatisations ou

L'unité d'organisation Automations contient des ressources partagées pour l'automatisation de la charge de travail, telles que des pipelines d'intégration continue et de livraison continue (CI/CD) pour la gestion de l'infrastructure. En fonction des besoins, l'automatisation peut être divisée en plusieurs environnements ou hébergée dans un seul environnement Compte AWS.

Exceptions ou

L'unité d'organisation Exceptions contient des charges de travail qui nécessitent un traitement spécial qui serait autrement évité par des politiques. Par exemple, les compartiments Amazon Simple Storage Service (Amazon S3) largement accessibles et lisibles devraient faire partie de l'unité d'organisation Exceptions.

Cimetière (États-Unis)

L'unité d'organisation Graveyard contient quatre charges Comptes AWS de travail qui seront supprimées. Les politiques de ces comptes doivent être supprimées pour un accès administratif simple et efficace jusqu'à ce que le compte expire ou soit supprimé.