

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Visão geral do cenário e da arquitetura
<a name="scenario"></a>

A agência governamental tem três workloads na Nuvem AWS:
+ Um [data lake sem servidor que usa](serverless-data-lake.md) o Amazon Simple Storage Service (Amazon S3) para armazenamento AWS Lambda e operações de extração, transformação e carregamento (ETL)
+ Um [serviço web em contêiner](containerised-web-service.md) executado no Amazon Elastic Container Service (Amazon ECS) e que usa um banco de dados no Amazon Relational Database Service (Amazon RDS)
+ Um [software comercial off-the-shelf (COTS)](cots-software.md) executado no Amazon EC2

Uma *equipe de nuvem* fornece uma plataforma centralizada para a organização, executando os principais serviços para o AWS meio ambiente. Uma equipe de nuvem fornece serviços essenciais para o AWS meio ambiente. Cada workload pertence a uma *equipe de aplicações* distinta, também conhecida como *equipe de desenvolvedores* ou *equipe de entrega*.

## Arquitetura principal
<a name="core-architecture"></a>

A equipe de nuvem já estabeleceu os seguintes recursos na Nuvem AWS:
+ A federação de identidades Centro de Identidade do AWS IAM é vinculada à instância do Microsoft Entra ID (antigo *Azure Active Directory*). A federação impõe o MFA, a expiração automática das contas de usuário e o uso de credenciais AWS Identity and Access Management de curta duração por meio de funções (IAM).
+ Um pipeline de AMI centralizado é usado para corrigir sistemas operacionais e aplicações principais com o EC2 Image Builder.
+ O Amazon Inspector está habilitado para identificar vulnerabilidades, e todas as descobertas de segurança são enviadas à Amazon GuardDuty para gerenciamento centralizado.
+ Mecanismos estabelecidos são usados para atualizar as regras de controle de aplicações, responder a eventos de segurança cibernética e analisar as lacunas de conformidade.
+ AWS CloudTrail é usado para registro e monitoramento.
+ Eventos de segurança, como login do usuário-raiz, iniciam alertas.
+ SCPs e as políticas de VPC endpoint estabelecem perímetros de dados para seus ambientes. AWS 
+ SCPs impedir que as equipes de aplicativos desativem serviços de segurança e registro, como CloudTrail e. AWS Config
+ AWS Config as descobertas são agregadas de toda a AWS organização em uma única Conta da AWS para fins de segurança.
+ O [pacote de conformidade AWS Config ACSC Essential 8 está disponível](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-acsc_essential_8.html) Contas da AWS em toda a sua organização.