Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Panoramica dello scenario e dell'architettura
<a name="scenario"></a>

L'agenzia governativa ha tre carichi di lavoro nei seguenti settori: Cloud AWS
+ Un [data lake serverless](serverless-data-lake.md) che utilizza Amazon Simple Storage Service (Amazon S3) per lo storage e AWS Lambda per le operazioni di estrazione, trasformazione e caricamento (ETL)
+ Un [servizio Web containerizzato](containerised-web-service.md) che viene eseguito su Amazon Elastic Container Service (Amazon ECS) e utilizza un database in Amazon Relational Database Service (Amazon RDS)
+ Un [software commerciale off-the-shelf (COTS)](cots-software.md) in esecuzione su Amazon EC2

Un *team cloud* fornisce una piattaforma centralizzata per l'organizzazione, che gestisce i servizi di base per l'ambiente. AWS Un team cloud fornisce i servizi di base per l' AWS ambiente. Ogni carico di lavoro è di proprietà di un *team applicativo* distinto, noto anche come team di *sviluppo o team* *di consegna*.

## Architettura di base
<a name="core-architecture"></a>

Il team cloud ha già stabilito le seguenti funzionalità in Cloud AWS:
+ La federazione delle identità si collega AWS IAM Identity Center alla relativa istanza Microsoft Entra ID (in precedenza *Azure Active Directory*). La federazione applica la MFA, la scadenza automatica degli account utente e l'uso di credenziali AWS Identity and Access Management di breve durata tramite ruoli (IAM).
+ Una pipeline AMI centralizzata viene utilizzata per applicare patch ai sistemi operativi e alle applicazioni principali con EC2 Image Builder.
+ Amazon Inspector è abilitato a identificare le vulnerabilità e tutti i risultati di sicurezza vengono inviati ad Amazon GuardDuty per la gestione centralizzata.
+ Vengono utilizzati meccanismi consolidati per aggiornare le regole di controllo delle applicazioni, rispondere agli eventi di sicurezza informatica e esaminare le lacune di conformità.
+ AWS CloudTrail viene utilizzato per la registrazione e il monitoraggio.
+ Gli eventi di sicurezza, come l'accesso dell'utente root, avviano gli avvisi.
+ SCPs e le policy degli endpoint VPC stabiliscono i perimetri dei dati per i tuoi ambienti. AWS 
+ SCPs impedisci ai team addetti alle applicazioni di disabilitare i servizi di sicurezza e registrazione, come e. CloudTrail AWS Config
+ AWS Config i risultati vengono aggregati dall'intera AWS organizzazione in un unico Account AWS documento per motivi di sicurezza.
+ Il [pacchetto di conformità AWS Config ACSC Essential 8](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-acsc_essential_8.html) è abilitato in tutta Account AWS l'organizzazione.