Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Struttura degli account dedicata
| |
| --- |
| Influenza il futuro della AWS Security Reference Architecture (AWS SRA) rispondendo a un [breve sondaggio](https://amazonmr.au1.qualtrics.com/jfe/form/SV_e3XI1t37KMHU2ua). |
An Account AWS fornisce sicurezza, accesso e limiti di fatturazione per le AWS risorse e consente di raggiungere l'indipendenza e l'isolamento delle risorse. Per impostazione predefinita, non è consentito l'accesso tra account.
Quando progetti l'unità organizzativa e la struttura degli account, inizia pensando alla sicurezza e all'infrastruttura. Ti consigliamo di creare un set di funzionalità di base OUs per queste funzioni specifiche, suddivise in Infrastruttura e Sicurezza OUs. Questi consigli sulle unità organizzative e sugli account racchiudono un sottoinsieme delle nostre linee guida più ampie AWS Organizations e complete per la progettazione di strutture multi-account. Per una serie completa di consigli, consulta [Organization your AWS environment using multiple account](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html) nella AWS documentazione e il post di blog [Best practice for organizational](https://aws.amazon.com/blogs/mt/best-practices-for-organizational-units-with-aws-organizations/) units with. AWS Organizations
L' AWS SRA utilizza i seguenti account per eseguire operazioni di sicurezza efficaci su. AWS Questi account dedicati aiutano a garantire la separazione delle mansioni, supportano diverse politiche di governance e accesso per diversi aspetti sensibili di applicazioni e dati e aiutano a mitigare l'impatto di un evento di sicurezza. Nelle discussioni che seguono, ci concentriamo sugli account di produzione (di produzione) e sui *carichi* di lavoro associati. Gli account SDLC (Software Development Lifecycle) (spesso denominati account di *sviluppo* e *test*) sono destinati alla gestione temporanea dei risultati finali e possono funzionare secondo una serie di politiche di sicurezza diverse da quelle degli account di produzione.
|
|
| **Account** | **OU** | **Ruolo di sicurezza** |
| --- |--- |--- |
| Gestione
| — | Governance e gestione centralizzate di tutti Regioni AWS e degli account. Il Account AWS che ospita la radice dell' AWS organizzazione. |
| Strumenti di sicurezza | Sicurezza | Dedicato alla Account AWS gestione di servizi di sicurezza di ampia portata (come Security Hub CSPM GuardDuty, Audit Manager, Detective, Amazon Inspector e AWS Config), al monitoraggio e all'automazione degli avvisi e delle Account AWS risposte di sicurezza. *(In AWS Control Tower, il nome predefinito dell'account in Security OU è Audit account.)* |
| Archivio dei registri | Sicurezza | Dedicato Account AWS all'acquisizione e all'archiviazione di tutti i log e i backup per tutti e. Regioni AWS Account AWS Questo dovrebbe essere progettato come storage immutabile. |
| Rete | Infrastruttura | Il gateway tra l'applicazione e la rete Internet più ampia. L'account di rete isola i servizi di rete, la configurazione e il funzionamento più ampi dai carichi di lavoro, dalla sicurezza e da altre infrastrutture delle singole applicazioni. |
| Servizi condivisi | Infrastruttura | Questo account supporta i servizi utilizzati da più applicazioni e team per fornire i propri risultati. Gli esempi includono i servizi di directory di Identity Center (Active Directory), i servizi di messaggistica e i servizi di metadati. |
| Applicazione | Carichi di lavoro | Account AWS che ospitano le applicazioni AWS dell'organizzazione ed eseguono i carichi di lavoro. (A volte vengono chiamati *account Workload*). Gli account delle applicazioni devono essere creati per isolare i servizi software anziché essere mappati ai team. Ciò rende l'applicazione distribuita più resistente ai cambiamenti organizzativi. |