Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Struktur akun khusus
| Mempengaruhi masa depan AWS Security Reference Architecture (AWS SRA) dengan mengambil survei singkat |
An Akun AWS menyediakan batasan keamanan, akses, dan penagihan untuk AWS sumber daya Anda, dan memungkinkan Anda mencapai kemandirian dan isolasi sumber daya. Secara default, tidak ada akses yang diizinkan antar akun.
Saat merancang struktur OU dan akun Anda, mulailah dengan mempertimbangkan keamanan dan infrastruktur. Sebaiknya buat satu set dasar OUs untuk fungsi-fungsi spesifik ini, dibagi menjadi Infrastruktur dan Keamanan OUs. Rekomendasi OU dan akun ini menangkap sebagian dari pedoman kami yang lebih luas AWS Organizations dan lebih komprehensif untuk desain struktur multi-akun. Untuk serangkaian rekomendasi lengkap, lihat Mengatur AWS lingkungan Anda menggunakan beberapa akun dalam AWS
dokumentasi dan posting blog Praktik terbaik untuk unit organisasi dengan AWS Organizations
AWS SRA menggunakan akun berikut untuk mencapai operasi keamanan yang efektif. AWS Akun khusus ini membantu memastikan pemisahan tugas, mendukung kebijakan tata kelola dan akses yang berbeda untuk berbagai aplikasi dan data sensitif, dan membantu mengurangi dampak peristiwa keamanan. Dalam diskusi berikutnya, kami berfokus pada akun produksi (prod) dan beban kerja terkait. Akun siklus hidup pengembangan perangkat lunak (SDLC) (sering disebut akun dev dan pengujian) dimaksudkan untuk pementasan kiriman dan dapat beroperasi di bawah kebijakan keamanan yang berbeda yang ditetapkan dari akun produksi.
Akun |
OU |
Peran keamanan |
|---|---|---|
Manajemen
|
— |
Tata kelola pusat dan manajemen semua Wilayah AWS dan akun. Akun AWS Yang menjadi tuan rumah akar AWS organisasi. |
Perkakas Keamanan |
Keamanan |
Didedikasikan Akun AWS untuk mengoperasikan layanan keamanan yang berlaku secara luas (seperti GuardDuty, Security Hub CSPM, Audit Manager, Detective, Amazon Inspector, AWS Config dan), Akun AWS memantau, dan mengotomatiskan peringatan dan respons keamanan. (Dalam AWS Control Tower, nama default untuk akun di bawah Security OU adalah akun Audit.) |
Arsip Log |
Keamanan |
Didedikasikan Akun AWS untuk menelan dan mengarsipkan semua logging dan backup untuk semua dan. Wilayah AWS Akun AWS Ini harus dirancang sebagai penyimpanan yang tidak dapat diubah. |
Jaringan |
Infrastruktur |
Gateway antara aplikasi Anda dan internet yang lebih luas. Akun Jaringan mengisolasi layanan jaringan, konfigurasi, dan operasi yang lebih luas dari beban kerja aplikasi individual, keamanan, dan infrastruktur lainnya. |
Layanan Bersama |
Infrastruktur |
Akun ini mendukung layanan yang digunakan beberapa aplikasi dan tim untuk memberikan hasil mereka. Contohnya termasuk layanan direktori Pusat Identitas (Direktori Aktif), layanan pesan, dan layanan metadata. |
Aplikasi |
Beban kerja |
Akun AWS yang menampung aplikasi AWS organisasi dan melakukan beban kerja. (Ini kadang-kadang disebut akun Beban Kerja.) Akun aplikasi harus dibuat untuk mengisolasi layanan perangkat lunak alih-alih dipetakan ke tim Anda. Ini membuat aplikasi yang digunakan lebih tahan terhadap perubahan organisasi. |
