View a markdown version of this page

Pelajaran yang dipetik dan praktik terbaik - AWS Bimbingan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pelajaran yang dipetik dan praktik terbaik

  • Desain struktur OU bukanlah upaya satu kali. Ketika perusahaan meningkatkan adopsi cloud dan memigrasikan beban kerja tambahan ke AWS landing zone, desain OU (dan secara implisit konsep kebijakannya) juga akan berkembang secara alami.

  • Jangan salah OUs untuk folder; anggap mereka target untuk kebijakan. Hirarki OUs dan mereka menyediakan elemen penataan untuk Akun AWS dan harus selalu diperlakukan sebagai wadah untuk kebijakan. Kami menyarankan Anda menempatkan semua Akun AWS yang memerlukan serangkaian kebijakan yang sama ke dalam OU yang sama. Pedoman ini juga meluas ke nested OUs (OUs dalam). OUs

    AWS lingkungan yang membutuhkan fungsionalitas bersama terpusat dan kemampuan berbagi data lintas beban kerja (yang sering terlihat di platform data perusahaan) lebih mudah diakomodasi dalam struktur OU yang tidak didasarkan pada klasifikasi fungsi lini bisnis (LOB). Misalnya, lingkungan produksi untuk aplikasi manufaktur tidak berbeda dengan lingkungan produksi untuk aplikasi analisis uji klinis dalam hal kebijakan di AWS Organizations.

  • Hormati dan gunakan warisan. Ketika Anda melampirkan kebijakan ke OU tertentu, Akun AWS yang secara langsung berada di bawah OU tersebut atau di bawah anak mana pun, OU mewarisi kebijakan tersebut. Saat Anda melampirkan kebijakan ke kebijakan tertentu Akun AWS, kebijakan hanya memengaruhi itu Akun AWS.

    Upaya migrasi dari satu struktur OU ke struktur lain tergantung pada seberapa luas kebijakan yang ada dikonfigurasi di OU atau Akun AWS tingkat. Faktor penting lainnya adalah berapa banyak pewarisan kebijakan yang digunakan dalam hierarki OU yang ada, atau jika pewarisan rusak. Kompleksitas migrasi meningkat dengan penerapan jalur pewarisan yang tidak teratur atau menyimpang. Misalnya, jika Anda menerapkan kebijakan di Akun AWS tingkat individu atau sering membuat pengecualian kebijakan (yang melanggar warisan), memigrasikan kebijakan tersebut ke dalam struktur baru akan membutuhkan upaya yang jauh lebih besar. Dalam kasus kompleksitas tinggi seperti itu, kami menyarankan Anda menginvestasikan waktu untuk meninjau dan mendesain ulang warisan kebijakan selama perencanaan migrasi.

  • Jaga AWS Organizations kebijakan dan AWS Control Tower kontrol. Struktur OU dibagi antara AWS Control Tower dan AWS Organizations. AWS Control Tower menyediakan set kontrol detektif dan preventif sendiri. Kontrol ini berlaku di tingkat Akun AWS atau OU. AWS Organizations mengatur kebijakan di tingkat OU. Dalam migrasi OU, kami menyarankan Anda untuk memigrasikan AWS Organizations kebijakan terlebih dahulu, karena kebijakan ini lebih membebani kepatuhan. Kami menyarankan Anda menerapkan AWS Control Tower kontrol ke struktur OU baru di langkah migrasi kedua.

  • Butuh waktu untuk memperbarui Akun AWS. Anda harus mendaftarkan ulang yang ada Akun AWS secara individual ke dalam struktur OU baru dengan menggunakan. AWS Control Tower Ini membutuhkan waktu. Jika Anda memiliki banyak akun, kami sarankan Anda merampingkan pekerjaan ini melalui otomatisasi untuk mengontrol dan mengotomatiskan penempatan OU. Akun AWS Berikut adalah dua contoh skenario:

    • Perubahan manual untuk migrasi kecil: Pimpinan migrasi menetapkan kembali masing-masing Akun AWS dari OU lamanya ke OU barunya di Konsol Manajemen AWS. Ketika penugasan kembali itu selesai untuk semua Akun AWS, petunjuk migrasi terbuka AWS Control Tower baik untuk masing-masing Akun AWS secara terpisah atau untuk semua. OUs Mendaftar ulang Akun AWS AWS Control Tower membutuhkan 10-15 menit untuk masing-masing Akun AWS tergantung pada jumlah yang Wilayah AWS digunakan dalam akun. AWS Control Tower memungkinkan hingga lima operasi bersamaan semacam ini berjalan secara paralel.

    • Otomatisasi perubahan kustom: Otomasi menyederhanakan dan menghemat usaha. Misalnya, Anda dapat mengotomatiskan pengelolaan Akun AWS siklus hidup dari pembuatannya hingga migrasi dan penghentian. Anda dapat menggunakan AWS Control Tower Account Factory untuk mengubah penetapan OU untuk Akun AWS dan menjalankan proses pendaftaran ulang. Otomatisasi ini mendukung migrasi skala besar ratusan Akun AWS.