As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS estratégia de várias contas para sua landing zone do AWS Control Tower
Os clientes do AWS Control Tower geralmente buscam orientação sobre como configurar seu AWS ambiente e suas contas para obter melhores resultados.AWS criou um conjunto unificado de recomendações, chamado de estratégia de várias contas, para ajudar você a fazer o melhor uso de seus AWS recursos, incluindo sua landing zone do AWS Control Tower.
Essencialmente, o AWS Control Tower atua como uma camada de orquestração que funciona com outros AWS serviços, que ajudam você a implementar as recomendações de AWS várias contas para AWS contas e. AWS Organizations Depois que a zona de pouso for configurada, o AWS Control Tower continuará ajudando você a manter suas políticas corporativas e práticas de segurança em várias contas e workloads.
A maioria das zonas de pouso se desenvolve com o tempo. À medida que o número de unidades organizacionais (UOs) e contas na sua zona de pouso do AWS Control Tower aumenta, você pode estender a implantação do AWS Control Tower de forma a ajudar a organizar suas workloads de forma eficaz. Esse capítulo fornece orientações prescritivas sobre como planejar e configurar a zona de pouso do AWS Control Tower, de acordo com a estratégia de várias contas da AWS , e estendê-la ao longo do tempo.
Para uma discussão geral sobre as melhores práticas para unidades organizacionais, consulte Melhores práticas para unidades organizacionais com AWS Organizations
AWS estratégia de várias contas: orientação sobre as melhores práticas
AWS as melhores práticas para um ambiente bem arquitetado recomendam que você separe seus recursos e cargas de trabalho em várias contas. AWS Você pode pensar nas contas da AWS como contêineres de recursos isolados: elas oferecem categorização da workload, bem como redução do raio de alcance quando as coisas dão errado.
- Definição de uma AWS conta
-
Uma AWS conta atua como um contêiner de recursos e um limite de isolamento de recursos.
nota
Uma AWS conta não é o mesmo que uma conta de usuário, que é configurada por meio da Federação ou AWS Identity and Access Management (IAM).
Mais sobre AWS contas
Uma AWS conta oferece a capacidade de isolar recursos e conter ameaças à segurança de suas AWS cargas de trabalho. Uma conta também fornece um mecanismo para cobrança e governança de um ambiente de workload.
A AWS conta é o principal mecanismo de implementação para fornecer um contêiner de recursos para suas cargas de trabalho. Se seu ambiente for bem arquitetado, você poderá gerenciar várias AWS contas com eficiência e, assim, gerenciar várias cargas de trabalho e ambientes.
O AWS Control Tower configura um ambiente bem arquitetado. Além disso, ele depende de AWS contas que ajudam a controlar mudanças em seu ambiente que podem se estender a várias contas. AWS Organizations
- Definição de um ambiente bem arquitetado
-
AWS define um ambiente bem arquitetado como aquele que começa com uma landing zone.
O AWS Control Tower oferece uma zona de pouso que é configurada automaticamente. Ele impõe controles para garantir a conformidade com suas diretrizes corporativas em várias contas em seu ambiente.
- Definição de um zona de pouso
-
A zona de pouso é um ambiente de nuvem que oferece um ponto de partida recomendado, incluindo contas padrão, estrutura de contas, layouts de rede e segurança e assim por diante. Com uma zona de pouso, é possível implantar workloads que utilizam suas soluções e aplicações.
Diretrizes para configurar um ambiente bem arquitetado
Os três componentes principais de um ambiente bem arquitetado, explicados nas seções a seguir, são:
-
Várias AWS contas
-
Várias unidades organizacionais (UOs)
-
Uma estrutura bem planejada
Usar várias contas da AWS
Uma conta não é suficiente para configurar um ambiente bem arquitetado. Ao usar várias contas, é possível oferecer melhor suporte às suas metas de segurança e processos comerciais. Veja alguns benefícios de usar uma abordagem de várias contas:
-
Controle de segurança: as aplicações têm diferentes perfis de segurança, portanto exigem políticas e mecanismos de controle diferentes. Por exemplo, é mais fácil falar com um auditor e apontar para uma única conta que hospeda a workload do setor de cartões de pagamento (PCI).
-
Isolamento: uma conta é uma unidade de proteção de segurança. Os possíveis riscos e as ameaças à segurança devem estar contidos em uma conta sem afetar outras. Portanto, as necessidades de segurança podem exigir que você isole as contas umas das outras. Por exemplo, é possível ter equipes com perfis de segurança diferentes.
-
Muitas equipes: as equipes têm responsabilidades e necessidades de recursos diferentes. Ao configurar várias contas, as equipes não podem interferir umas nas outras, como fariam ao usar a mesma conta.
-
Isolamento de dados: isolar os armazenamentos de dados em uma conta ajuda a limitar o número de pessoas que têm acesso aos dados e podem gerenciar o armazenamento de dados. Esse isolamento ajuda a evitar a exposição não autorizada de dados altamente privados. Por exemplo, o isolamento de dados ajuda a apoiar a conformidade com o Regulamento Geral sobre a Proteção de Dados (GDPR).
-
Processo empresarial: as unidades de negócios ou produtos costumam ter finalidades e processos completamente diferentes. Contas individuais podem ser estabelecidas para atender às necessidades específicas do negócio.
-
Faturamento: uma conta é a única maneira verdadeira de separar itens em um nível de faturamento, incluindo coisas como taxas de transferência e assim por diante. A estratégia de várias contas ajuda a criar itens separados passíveis de cobrança em unidades de negócios, equipes funcionais ou usuários individuais.
-
Alocação de cotas — as AWS cotas são configuradas por conta. A separação das workloads em contas diferentes dá a cada conta (como um projeto) uma cota individual bem definida.
Usar várias unidades organizacionais
O AWS Control Tower e outras estruturas de orquestração de contas podem fazer alterações que ultrapassam os limites da conta. Portanto, as AWS melhores práticas abordam mudanças em várias contas, que podem potencialmente prejudicar um ambiente ou prejudicar sua segurança. Em alguns casos, as mudanças podem afetar o ambiente geral, além das políticas. Como resultado, recomendamos que você configure pelo menos duas contas obrigatórias, de produção e de preparação.
Além disso, AWS as contas geralmente são agrupadas em unidades organizacionais (OUs), para fins de governança e controle. As UOs são projetadas para lidar com a aplicação de políticas em várias contas.
Nossa recomendação é que, no mínimo, você crie um ambiente de pré-produção (ou preparação) diferente do ambiente de produção, com controles e políticas distintos. Os ambientes de produção e preparação podem ser criados e administrados como UOs separadas e cobrados como contas separadas. Além disso, você pode querer configurar uma UO de sandbox para testes de código.
Usar uma estrutura bem planejada para UOs na zona de pouso
O AWS Control Tower configura algumas OUs para você automaticamente. À medida que suas workloads e seus requisitos se expandem com o tempo, você pode estender a configuração original da zona de pouso para atender às suas necessidades.
nota
Os nomes fornecidos nos exemplos seguem as convenções de AWS nomenclatura sugeridas para configurar um ambiente com várias AWS contas. É possível renomear as UOs depois de configurar a zona de pouso, selecionando Editar na página de detalhes da UO.
Recomendações
Depois que o AWS Control Tower configurar a primeira UO necessária para você, a UO de segurança, recomendamos criar algumas UOs adicionais na zona de pouso.
Recomendamos que você permita que o AWS Control Tower crie pelo menos uma UO adicional, chamada UO de sandbox. Essa UO é para seus ambientes de desenvolvimento de software. O AWS Control Tower pode configurar a UO de sandbox para você durante a criação da zona de pouso, caso a selecione.
Duas outras UOs recomendadas que você pode configurar por conta própria: a UO de infraestrutura, para conter seus serviços compartilhados e contas de rede, e uma UO para conter suas workloads de produção, chamada de UO de workloads. É possível adicionar outras UOs à zona de pouso no console do AWS Control Tower na página Unidades organizacionais.
UOs recomendadas, além das configuradas automaticamente
-
UO de infraestrutura: contém seus serviços compartilhados e contas de rede.
nota
O AWS Control Tower não configura a UO de infraestrutura para você.
-
UO de sandbox: uma UO de desenvolvimento de software. Por exemplo, ela pode ter um limite fixo de gastos ou pode não estar conectada à rede de produção.
nota
O AWS Control Tower recomenda que você configure a UO de sandbox, mas ela é opcional. Ela pode ser configurada automaticamente como parte da configuração da zona de pouso.
-
UO de workloads: contém contas que executam suas workloads.
nota
O AWS Control Tower não configura a UO de workloads para você.
Consulte mais informações em Production starter organization with AWS Control Tower.
Exemplo do AWS Control Tower com uma estrutura completa de UO de várias contas
O AWS Control Tower permite definir uma hierarquia de UO aninhada, o que significa que você pode criar uma estrutura hierárquica de OU que atenda aos requisitos da sua organização. Você pode criar um ambiente do AWS Control Tower de acordo com a orientação estratégica de AWS várias contas.
Você também pode criar uma estrutura de UO mais simples e plana que tenha um bom desempenho e esteja alinhada com a orientação de várias contas da AWS . Só porque você pode criar uma estrutura hierárquica de UO, isso não significa que deva fazer isso.
-
Para ver um diagrama que mostra um exemplo de conjunto de OUs em um ambiente expandido e plano do AWS Control Tower com orientação para AWS várias contas, consulte Exemplo: cargas de trabalho em uma estrutura plana de OU.
-
Consulte mais informações sobre como o AWS Control Tower funciona com estruturas de UO aninhada em Aninhado OUs na AWS Control Tower.
-
Para obter mais informações sobre como o AWS Control Tower se alinha à AWS orientação, consulte o AWS white paper Organizing Your AWS Environment Using Multiple Accounts.
O diagrama na página vinculada mostra que mais UOs fundamentais e mais UOs adicionais foram criadas. Essas UOs atendem às necessidades adicionais de uma implantação maior.
Na coluna de UOs fundamentais, duas UOs foram adicionadas à estrutura básica:
-
Security_Prod OU — Fornece uma área somente de leitura para políticas de segurança, bem como uma área de auditoria de segurança incomparável.
-
UO de Infraestrutura — Talvez você queira separar a UO de Infraestrutura, recomendada anteriormente, em duas OUs Infrastructure_Test (para infraestrutura de pré-produção) e Infrastructure_Prod (para infraestrutura de produção).
Na área de UOs adicionais, várias outras UOs foram adicionadas à estrutura básica. A seguir estão as próximas UOs recomendadas para criar à medida que seu ambiente cresce:
-
UO de cargas de trabalho — A OU de cargas de trabalho, recomendada anteriormente, mas opcional, foi separada em duas OUs, Workloads_Test (para cargas de trabalho de pré-produção) e Workloads_Prod (para cargas de trabalho de produção).
-
PolicyStaging OU — permite que os administradores do sistema testem suas alterações nos controles e políticas antes de aplicá-las totalmente.
-
OU suspensa: oferece um local para contas que podem ter sido desativadas temporariamente.
Sobre a raiz
A raiz não é uma UO. Ela é um contêiner para a conta de gerenciamento e para todas as UOs e contas da sua organização. Conceitualmente, a raiz contém todas as UOs. Ela não pode ser excluída. Não é possível administrar contas inscritas no nível de raiz no AWS Control Tower. Em vez disso, administre as contas inscritas em suas UOs. Para obter um diagrama útil, consulte a AWS Organizations documentação.
