Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Struttura degli account dedicata
| Influenza il futuro della AWS Security Reference Architecture (AWS SRA) rispondendo a un breve sondaggio |
An Account AWS fornisce sicurezza, accesso e limiti di fatturazione per le AWS risorse e consente di raggiungere l'indipendenza e l'isolamento delle risorse. Per impostazione predefinita, non è consentito l'accesso tra account.
Quando si progetta l'unità organizzativa e la struttura degli account, è necessario iniziare pensando alla sicurezza e all'infrastruttura. Ti consigliamo di creare un set di funzionalità di base OUs per queste funzioni specifiche, suddivise in Infrastruttura e Sicurezza OUs. Questi consigli sulle unità organizzative e sugli account racchiudono un sottoinsieme delle nostre linee guida più ampie AWS Organizations e complete per la progettazione di strutture multi-account. Per una serie completa di consigli, consulta Organization your AWS environment using multiple account nella AWS
documentazione e il post di blog Best practice for organizational
L' AWS SRA utilizza i seguenti account per eseguire operazioni di sicurezza efficaci su. AWS Questi account dedicati aiutano a garantire la separazione delle mansioni, supportano diverse politiche di governance e accesso per diversi aspetti sensibili di applicazioni e dati e aiutano a mitigare l'impatto di un evento di sicurezza. Nelle discussioni che seguono, ci concentriamo sugli account di produzione (di produzione) e sui carichi di lavoro associati. Gli account SDLC (Software Development Lifecycle) (spesso denominati account di sviluppo e test) sono destinati alla gestione temporanea dei risultati finali e possono funzionare secondo una serie di politiche di sicurezza diverse da quelle degli account di produzione.
Account |
OU |
Ruolo di sicurezza |
|---|---|---|
Gestione
|
— |
Governance e gestione centralizzate di tutti Regioni AWS e degli account. Il Account AWS che ospita la radice dell' AWS organizzazione. |
Strumenti di sicurezza |
Sicurezza |
Dedicato alla Account AWS gestione di servizi di sicurezza di ampia portata (come Security Hub CSPM GuardDuty, Audit Manager, Detective, Amazon Inspector e AWS Config), al monitoraggio e all'automazione degli avvisi e delle Account AWS risposte di sicurezza. (In AWS Control Tower, il nome predefinito dell'account in Security OU è Audit account.) |
Archivio dei registri |
Sicurezza |
Dedicato Account AWS all'acquisizione e all'archiviazione di tutti i log e i backup per tutti e. Regioni AWS Account AWS Questo dovrebbe essere progettato come storage immutabile. |
Rete |
Infrastruttura |
Il gateway tra l'applicazione e la rete Internet più ampia. L'account di rete isola i servizi di rete, la configurazione e il funzionamento più ampi dai carichi di lavoro, dalla sicurezza e da altre infrastrutture delle singole applicazioni. |
Servizi condivisi |
Infrastruttura |
Questo account supporta i servizi utilizzati da più applicazioni e team per fornire i propri risultati. Gli esempi includono i servizi di directory di Identity Center (Active Directory), i servizi di messaggistica e i servizi di metadati. |
Applicazione |
Carichi di lavoro |
Account AWS che ospitano le applicazioni AWS dell'organizzazione ed eseguono i carichi di lavoro. (A volte vengono chiamati account Workload). Gli account delle applicazioni devono essere creati per isolare i servizi software anziché essere mappati ai team. Ciò rende l'applicazione distribuita più resistente ai cambiamenti organizzativi. |
