View a markdown version of this page

Gambaran umum - AWS Bimbingan Preskriptif
Jenis kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gambaran umum

Kami bekerja dengan perusahaan farmasi multinasional untuk menjalankan kegiatan proof-of-concept (PoC) AWS untuk mengeksplorasi bagaimana mereka dapat memigrasikan aplikasi mereka dari tempat ke tempat. AWS Cloud Ketika mereka mulai menskalakan dan mempercepat alur kerja migrasi mereka untuk memasukkan beban kerja produksi, menjadi jelas bahwa mereka membutuhkan landing AWS zone yang diatur dan sesuai untuk mendukung tujuan mereka. Kami dulu AWS Control Towermerancang dan mengimplementasikan AWS landing zone baru.

Aspek penting dari AWS landing zone baru dan organisasinya adalah struktur unit organisasinya (OUs). OU adalah pengelompokan logis yang Akun AWS dibuat dengan menggunakan AWS Organizations. Anda dapat menggunakannya OUs untuk mengatur Akun AWS ke dalam hierarki dan menerapkan kontrol manajemen dan tata kelola secara konsisten dan lebih mudah.

Anda dapat melampirkan kontrol berbasis kebijakan ke OU dan ke. Akun AWS Anak OUs dalam OU secara otomatis mewarisi kontrol tersebut. Oleh karena itu, OUs memainkan peran penting dalam mengelola keamanan dan tata kelola di AWS Organizations.

Kebijakan adalah dokumen JSON yang menyertakan satu atau beberapa pernyataan yang menentukan kontrol yang ingin Anda terapkan ke grup. Akun AWS AWS Organizations Saat ini mendukung empat jenis kebijakan, juga dikenal sebagai kebijakan kontrol layanan (SCPs). SCP mendefinisikan Layanan AWS dan tindakan yang tersedia untuk digunakan secara berbeda. Akun AWS Misalnya, Anda dapat menggunakan SCP untuk meminta peluncuran instans Amazon Elastic Compute Cloud EC2 (Amazon) agar menggunakan jenis instans tertentu.

Jenis kebijakan

Jenis kebijakan SCP meliputi:

  • Izinkan daftar dan tolak daftar adalah strategi pelengkap yang dapat Anda gunakan SCPs untuk diterapkan untuk memfilter izin yang tersedia untuk akun.

  • Kebijakan tag membantu Anda mempertahankan tag yang konsisten, termasuk perlakuan kasus yang disukai dari kunci tag dan nilai tag di seluruh akun.

  • Kebijakan cadangan mengonfigurasi pencadangan untuk jenis sumber daya yang didukung, seperti jendela waktu cadangan dan brankas tujuan untuk pencadangan. Wilayah AWS

  • Kebijakan opt-out layanan AI memungkinkan atau menonaktifkan peningkatan berkelanjutan layanan kecerdasan AWS buatan (AI) secara global.

Perilaku pewarisan kebijakan: Saat Anda melampirkan kebijakan ke OU tertentu, akun yang secara langsung berada di bawah OU tersebut atau OU anak mana pun mewarisi kebijakan tersebut. Saat Anda melampirkan kebijakan ke akun tertentu, kebijakan tersebut hanya memengaruhi akun tersebut. Anda dapat menimpa kebijakan yang diwariskan dengan memperkenalkan kebijakan pengecualian. Warisan secara eksplisit memungkinkan semua izin mengalir dari root (OU) ke setiap Akun AWS OU dan OU anak itu, kecuali jika Anda secara eksplisit menolak izin. Untuk menolak izin, Anda membuat kebijakan tambahan dan melampirkannya ke OU yang sesuai atau Akun AWS. Untuk informasi selengkapnya tentang pewarisan kebijakan dan pengecualian, lihat dokumentasi.AWS Organizations

AWS Control Tower juga menyediakan set kontrol detektif dan preventif sendiri (juga disebut pagar pembatas) dengan menggunakan struktur OU. AWS Control Tower kontrol preventif mencegah tindakan dengan menggunakan SCPs in AWS Organizations. Detective control melaporkan penyimpangan konfigurasi terhadap kontrol dengan menggunakan. AWS Config Untuk informasi selengkapnya tentang kontrol ini, lihat AWS Control Tower dokumentasi.

Anda juga dapat mengaktifkan AWS Security Hub CSPMuntuk mengotomatiskan pemeriksaan praktik terbaik keamanan, menggabungkan peringatan keamanan ke dalam satu tempat dan format, dan memahami postur keamanan secara keseluruhan di semua tempat Anda. Akun AWS