Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Structure de comptes dédiée
| Influencez le futur de l'architecture de référence de AWS sécurité (AWS SRA) en répondant à une courte enquête |
An Compte AWS fournit des limites de sécurité, d'accès et de facturation pour vos AWS ressources, et vous permet de garantir l'indépendance et l'isolation des ressources. Par défaut, aucun accès n'est autorisé entre les comptes.
Lorsque vous concevez votre unité d'organisation et votre structure de compte, commencez par penser à la sécurité et à l'infrastructure. Nous vous recommandons de créer un ensemble de bases OUs pour ces fonctions spécifiques, réparties entre infrastructure et sécurité OUs. Ces recommandations relatives aux unités d'organisation et aux comptes reflètent un sous-ensemble de nos directives plus générales AWS Organizations et plus complètes pour la conception de structures multicomptes. Pour un ensemble complet de recommandations, consultez la section Organisation de votre AWS environnement à l'aide de plusieurs comptes dans la AWS
documentation et dans le billet de blog Meilleures pratiques pour les unités organisationnelles dotées
La AWS SRA utilise les comptes suivants pour réaliser des opérations de sécurité efficaces sur. AWS Ces comptes dédiés permettent de garantir la séparation des tâches, de prendre en charge différentes politiques de gouvernance et d'accès pour différents types d'applications et de données sensibles, et d'atténuer l'impact d'un événement de sécurité. Dans les discussions qui suivent, nous nous concentrons sur les comptes de production (production) et leurs charges de travail associées. Les comptes du cycle de vie du développement logiciel (SDLC) (souvent appelés comptes de développement et de test) sont destinés à la préparation des livrables et peuvent fonctionner selon une politique de sécurité différente de celle des comptes de production.
Compte |
UO |
Rôle de sécurité |
|---|---|---|
Gestion
|
— |
Gouvernance et gestion centralisées de tous Régions AWS les comptes. Celui Compte AWS qui héberge la racine de l' AWS organisation. |
Outillage de sécurité |
Sécurité |
Dédié Comptes AWS à l'exploitation de services de sécurité largement applicables (tels que GuardDuty Security Hub CSPM, Audit Manager, Detective, Amazon Inspector, etc. AWS Config), à la surveillance Comptes AWS et à l'automatisation des alertes et réponses de sécurité. (Dans AWS Control Tower, le nom par défaut du compte dans l'unité d'organisation de sécurité est Audit account.) |
Archive du journal |
Sécurité |
Dédié Comptes AWS à l'ingestion et à l'archivage de tous les journaux et sauvegardes pour tous Régions AWS et. Comptes AWS Cela doit être conçu comme un stockage immuable. |
Réseau |
Infrastructures |
La passerelle entre votre application et l'Internet au sens large. Le compte réseau isole l'ensemble des services réseau, de la configuration et du fonctionnement des charges de travail, de la sécurité et des autres infrastructures des applications individuelles. |
Services partagés |
Infrastructures |
Ce compte prend en charge les services utilisés par de nombreuses applications et équipes pour obtenir leurs résultats. Les exemples incluent les services d'annuaire Identity Center (Active Directory), les services de messagerie et les services de métadonnées. |
Application |
Charges de travail |
Comptes AWS qui hébergent les applications de AWS l'organisation et exécutent les charges de travail. (Ces comptes sont parfois appelés comptes de charge de travail.) Les comptes d'applications doivent être créés pour isoler les services logiciels au lieu d'être mappés à vos équipes. Cela rend l'application déployée plus résiliente face aux changements organisationnels. |
