AWS organisation et structure des comptes de la AWS SRA - AWS Conseils prescriptifs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS organisation et structure des comptes de la AWS SRA

Influencez le futur de l'architecture de référence de AWS sécurité (AWS SRA) en répondant à une courte enquête.

Le schéma suivant illustre la structure de haut niveau de la AWS SRA sans afficher de services spécifiques. Il reflète la structure de comptes dédiés décrite dans la section précédente, et nous incluons le schéma ici pour orienter la discussion autour des principaux composants de l'architecture :

  • Tous les comptes présentés dans le diagramme font partie d'une seule AWS organisation.

  • En haut à gauche du diagramme se trouve le compte de gestion de l'organisation, qui est utilisé pour créer l' AWS organisation.

  • Sous le compte Org Management se trouve l'unité d'organisation de sécurité avec deux comptes spécifiques : l'un pour Security Tooling et l'autre pour Log Archive.

  • Sur le côté droit se trouve l'unité d'organisation d'infrastructure avec le compte réseau et le compte Shared Services.

  • Au bas du diagramme se trouve l'unité d'organisation Workloads, qui est associée à un compte d'application hébergeant l'application d'entreprise.

Aux fins de ces directives, tous les comptes sont considérés comme des comptes de production (prod) fonctionnant en un seul Région AWS. La plupart Services AWS (à l'exception des services mondiaux) ont une portée régionale, ce qui signifie que les plans de contrôle et de données du service existent indépendamment dans chacune d'elles. Région AWS Pour cette raison, vous devez reproduire cette architecture sur tout ce Régions AWS que vous prévoyez d'utiliser, afin de garantir la couverture de l'ensemble de votre AWS paysage. Si vous n'avez aucune charge de travail dans une région spécifique Région AWS, vous devez désactiver la région en utilisant SCPsou en utilisant des mécanismes de journalisation et de surveillance. Vous pouvez utiliser Security Hub CSPM pour agréger les résultats et les scores de sécurité de plusieurs régions d'agrégation Régions AWS vers une seule région d'agrégation pour une visibilité centralisée.

Lorsque vous hébergez une AWS organisation disposant d'un grand nombre de comptes, il est avantageux de disposer d'une couche d'orchestration qui facilite le déploiement et la gouvernance des comptes. AWS Control Tower offre un moyen simple de configurer et de gérer un environnement AWS multi-comptes. Les exemples de code AWS SRA contenus dans le GitHub référentiel montrent comment utiliser la solution Customizations for AWS Control Tower (CfCT) pour déployer les structures recommandées par la AWS SRA.

Structure de haut niveau de la AWS SRA (sans services).