Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Panoramica
Abbiamo collaborato con un'azienda farmaceutica multinazionale per eseguire attività proof-of-concept (PoC) AWS per esplorare come migrare le proprie applicazioni dall'ambiente locale al. Cloud AWS Quando hanno iniziato a scalare e accelerare il flusso di lavoro di migrazione per includere i carichi di lavoro di produzione, è diventato chiaro che avevano bisogno di una AWS landing zone regolamentata e conforme per raggiungere il loro obiettivo. Prima progettavamo AWS Control Towere implementavamo una nuova AWS landing zone.
Un aspetto importante di una nuova AWS landing zone e della sua organizzazione è la struttura delle sue unità organizzative (OUs). Un'unità organizzativa è un raggruppamento logico di Account AWS elementi creato utilizzando AWS Organizations. È possibile utilizzarlo OUs per organizzarsi Account AWS in una gerarchia e applicare i controlli di gestione e governance in modo coerente e più semplice.
È possibile collegare controlli basati su policy a un'unità organizzativa e a. Account AWS I bambini OUs all'interno di un'unità organizzativa ereditano automaticamente tali controlli. Pertanto, OUs svolgono un ruolo fondamentale nella gestione della sicurezza e della governance in AWS Organizations.
Una policy è un documento JSON che include una o più istruzioni che definiscono i controlli da applicare a un gruppo di Account AWS. AWS Organizations attualmente supporta quattro tipi di policy, note anche come policy di controllo dei servizi (SCPs). Un SCP definisce le azioni Servizi AWS e che sono disponibili per l'uso in diversi Account AWS. Ad esempio, puoi utilizzare un SCP per richiedere che il lancio di istanze Amazon Elastic Compute Cloud EC2 (Amazon) utilizzi un tipo di istanza specifico.
Tipi di policy
I tipi di policy SCP includono quanto segue:
-
Gli elenchi consentiti e gli elenchi negati sono strategie complementari che è possibile utilizzare SCPs per filtrare le autorizzazioni disponibili per gli account.
-
Le politiche relative ai tag ti aiutano a mantenere i tag coerenti, incluso il trattamento preferenziale tra maiuscole e minuscole delle chiavi dei tag e dei valori dei tag tra gli account.
-
Le policy di backup configurano i backup per i tipi di risorse supportati, ad esempio la finestra temporale degli archivi di backup e gli archivi di destinazione per i backup trasversali. Regioni AWS
-
Le politiche di esclusione dei servizi di intelligenza artificiale consentono o disabilitano il miglioramento continuo dei servizi di intelligenza AWS artificiale (AI) a livello globale.
Comportamento relativo all'ereditarietà delle politiche: quando si allega una politica a un'unità organizzativa specifica, gli account che fanno capo direttamente a tale unità organizzativa o a qualsiasi unità organizzativa secondaria ereditano la politica. Quando si allega una politica a un account specifico, la politica ha effetto solo su quell'account. È possibile sovrascrivere le politiche ereditate introducendo politiche di eccezione. L'ereditarietà consente esplicitamente a tutte le autorizzazioni di passare dall'unità organizzativa principale (OU) a tutte le unità organizzative e a quelle secondarie, Account AWS a meno che l'utente non neghi esplicitamente un'autorizzazione. Per negare un'autorizzazione, è necessario creare una politica aggiuntiva e allegarla all'unità organizzativa o. Account AWSPer ulteriori informazioni sull'ereditarietà e le eccezioni delle politiche, consulta la documentazione.AWS Organizations
AWS Control Tower fornisce inoltre una propria serie di controlli investigativi e preventivi (chiamati anche guardrail) utilizzando la struttura dell'unità organizzativa. AWS Control Tower i controlli preventivi impediscono le azioni utilizzando l'in SCPs . AWS Organizations I controlli Detective segnalano la deriva della configurazione rispetto al controllo utilizzando. AWS ConfigPer ulteriori informazioni su questi controlli, consulta la AWS Control Tower documentazione.
Puoi anche AWS Security Hub CSPMautomatizzare i controlli delle migliori pratiche di sicurezza, aggregare gli avvisi di sicurezza in un unico posto e formato e comprendere il livello di sicurezza generale di tutti i tuoi sistemi. Account AWS
