View a markdown version of this page

Progettazione dell'unità operativa: fase 2 - AWS Guida prescrittiva
Progettazione dell’architetturaUnità organizzativa di sicurezzaInfrastructure Platform OUOU qualificataOU non qualificataAutomazioni (OU)Eccezioni OUGraveyard OU

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Progettazione dell'unità operativa: fase 2

Nel nostro esempio, l'azienda farmaceutica ha accelerato il passaggio a una nuova fase di maturità del cloud implementando carichi di lavoro di produzione qualificati in quelli esistenti. OUs Ciò ha dato inizio a una revisione del progetto iniziale e la struttura di fase 1 è stata messa alla prova con la migrazione di più carichi di lavoro verso la landing zone regolamentata. AWS

I seguenti nuovi requisiti e approfondimenti sono diventati importanti:

  • L'azienda ha implementato modelli di carico di lavoro basati su modelli di condivisione dei dati, in modo che le applicazioni acquisissero una natura polivalente che non poteva più essere assegnata a settori distinti OUs come quelli clinici o di produzione.

  • La qualificazione (in particolare, la qualificazione continua) è diventata un aspetto fondamentale di molti carichi di lavoro. Questi carichi di lavoro dovevano essere integrati nei processi operativi in modo che potessero seguire più facilmente le migliori pratiche di sicurezza. I carichi di lavoro qualificati richiedevano AWS controlli più rigorosi, che sono stati impostati a livello di unità organizzativa nella fase 1.

  • La funzionalità Nested OU è diventata disponibile in. AWS Control Tower

  • L'aggiornamento delle competenze e l'esperienza hanno portato a una migliore comprensione di quali politiche specifiche fossero rilevanti per i carichi di lavoro.

  • La società ha definito e concordato un modello operativo basato sull'allineamento delle responsabilità.

  • I modelli di segmentazione e strutturazione del carico di lavoro sono maturati e sono stati adottati per le migrazioni dei carichi di lavoro.

Di conseguenza, un nuovo design è stato implementato nella fase 2 e Account AWS migrato verso quella nuova struttura. Questa nuova struttura include quanto OUs descritto nelle sezioni seguenti.

Progettazione dell’architettura

Il diagramma seguente mostra l'architettura dell'unità organizzativa per la fase 2.

Progettazione dell'architettura per la fase 2 della struttura dell'unità organizzativa

Unità organizzativa di sicurezza

L'unità organizzativa di sicurezza contiene funzionalità ampiamente Account AWS correlate alla sicurezza e utilizza due account (Audit e Log Archive) per archiviare i dati operativi di sicurezza per la registrazione centralizzata e il controllo dell'accesso all'ambiente. AWS servizi di sicurezza di base come Amazon GuardDuty e AWS Security Hub CSPM risiedono nell'account di controllo. Questa unità organizzativa rimane invariata rispetto al design originale.

Infrastructure Platform OU

L'unità organizzativa Infrastructure Platform contiene account di infrastruttura di base come il networking e l'automazione condivisa nella AWS landing zone. Questa unità organizzativa rimane invariata rispetto al design originale.

OU qualificata

L'unità organizzativa qualificata contiene carichi di lavoro che richiedono un'infrastruttura qualificata, ad esempio rigorose procedure di gestione delle modifiche, qualificazione e convalida.

OU non qualificata

L'unità organizzativa non qualificata contiene carichi di lavoro che non hanno requisiti GxP o che non sono critici per l'azienda.

Automazioni (OU)

L'unità organizzativa Automations contiene risorse condivise per l'automazione dei carichi di lavoro, come pipeline di integrazione continua e distribuzione continua (CI/CD) per la gestione dell'infrastruttura. A seconda dei requisiti, l'automazione può essere suddivisa tra ambienti o ospitata in un unico ambiente. Account AWS

Eccezioni OU

L'unità organizzativa Exceptions contiene carichi di lavoro che richiedono un trattamento speciale che altrimenti verrebbe impedito dalle politiche. Ad esempio, i bucket Amazon Simple Storage Service (Amazon S3) ampiamente accessibili e leggibili farebbero parte dell'unità organizzativa Exceptions.

Graveyard OU

L'unità organizzativa Graveyard contiene quattro carichi Account AWS di lavoro che verranno eliminati. Le policy di questi account devono essere rimosse per un accesso amministrativo semplice ed efficace fino alla scadenza o all'eliminazione dell'account.