View a markdown version of this page

Construindo uma zona de pouso - AWS Recomendações

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Construindo uma zona de pouso

Você tem algumas opções para criar sua landing zone AWS. Você pode escolher um serviço gerenciado para orquestrar seu ambiente ou trabalhar com um parceiro para criar o seu próprio. AWS ofertas AWS Control Tower, um serviço gerenciado. Recomendamos que todos os usuários comecem com AWS Control Tower. No entanto, é importante entender as diferenças e os recursos de cada abordagem para que você possa tomar a melhor decisão para sua organização.

Opções para zonas de pouso em AWS:

  • AWS Control Tower

  • Custom-built landing zone

Mecanismo de entrega:

Diferenças AWS Control Tower entre uma landing zone personalizada.

Benefícios e desvantagens de cada abordagem:

Solução Benefícios Trade-offs

AWS Control Tower

  • Serviço totalmente gerenciado

  • Os controles e as políticas de conformidade fornecidos pela AWS são aplicados por padrão.

  • Fornece um painel central para monitoramento e status de conformidade.

  • Fornece o Account Factory para provisionamento de novas contas.

  • Algumas personalizações (como seleção de região e controles opcionais) estão disponíveis no console.

AWS Organizations com uma solução personalizada criada pelo cliente ou parceiro

  • Custom-built solução.

  • O cliente ou parceiro é dono de todo o desenvolvimento e codificação.

  • O cliente ou parceiro é responsável pela integração e implementação.

Todas as ofertas de ambientes de várias contas são fornecidas por. AWS Organizations AWS Organizations fornece a infraestrutura e os recursos subjacentes para você criar e gerenciar seu AWS ambiente. Com AWS Organizations, você mesmo pode seguir a orientação estratégica de várias contas fornecida por AWS e personalizar seu ambiente para melhor atender às suas necessidades comerciais. Se você já é um cliente e está satisfeito com sua AWS Organizations implementação atual, deve continuar operando seu AWS ambiente atual.

AWS Control Tower

AWS Control Tower é executado como um serviço AWS gerenciado. Quando você procura uma solução de ambiente pré-embalada pronta para uso, você pode usá-la AWS Control Tower para obter orientação prescritiva e um ambiente totalmente gerenciado. O serviço configura uma zpna de pouso com base nas melhores práticas de várias contas, centraliza o gerenciamento de identidade e acesso e estabelece regras de governança pré-configuradas para segurança e conformidade.

AWS serviços incluídos na AWS Control Tower configuração.

AWS Control Tower automatiza a configuração de uma nova landing zone usando as melhores práticas, esquemas de identidade, acesso federado e estrutura de contas. Alguns dos planos implementados no AWS Control Tower incluem:

  • Um ambiente com várias contas usando AWS Organizations

  • Cross-account auditorias de segurança usando AWS Identity and Access Management (IAM) e Centro de Identidade do AWS IAM

  • Gerenciamento de identidade usando o diretório padrão do Identity Center

  • Registro centralizado e AWS Config armazenado no Amazon Simple Storage Service (Amazon S3) AWS CloudTrail

Controles são regras de alto nível que fornecem governança contínua para todo o seu ambiente da AWS . Controles podem ser preventivos ou detectivos. Os controles preventivos são implementados usando políticas de controle de serviços (SCPs), que fazem parte do AWS Organizations. Os controles de detetive são implementados usando. AWS Config Exemplos de AWS Control Tower controles incluem:

  • Não permitir a criação de chaves de acesso para o usuário raiz

  • Desautorizar conexão com a Internet via RDP

  • Desautorizar o acesso público de gravação a buckets S3

  • Proibir volumes do Amazon Elastic Block Store (Amazon EBS) que não estejam anexados a uma instância do Amazon Elastic Compute Cloud (Amazon EC2)

nota

AWS Control Tower é um ponto de partida para um landing zone. Você precisa determinar sua estratégia de rede, gerenciamento de acesso e segurança com base em seus requisitos exclusivos à medida que constrói sua zona de pouso.

Custom-built landing zone

Você pode escolher criar sua própria solução personalizada de zona de pouso. Nesse caso, você implementa o ambiente básico para começar com o gerenciamento de identidade e acesso, governança, segurança de dados, design de rede e registro. Recomendamos essa abordagem se você quiser criar todos os componentes do seu ambiente do zero ou se tiver requisitos que somente uma solução personalizada pode suportar. Você deve ter experiência suficiente AWS para gerenciar, atualizar, manter e operar a solução depois de implantada.

Recomendamos que você comece AWS Control Tower a construir sua landing zone. AWS Control Tower ajuda você a criar uma configuração inicial prescritiva de landing zone, usar controles e planos prontos para uso e criar novas contas usando o Account Factory.AWS Control Tower

Durante a configuração, você pode personalizar sua landing zone a partir do AWS Control Tower console. Para obter detalhes, consulte a documentação do AWS Control Tower. Depois de configurar sua zona de pouso básica, use uma destas opções para aprimorá-la e personalizá-la ainda mais:

  • Use Personalizações para AWS Control Tower (cFct), que fornece amplas opções de personalização por meio de CloudFormation modelos e políticas de controle de serviços (SCPs). Para obter mais informações, consulte a documentação do AWS Control Tower.

  • Use o Landing Zone Accelerator (LZA) para aprimorar sua zona de pouso e alinhá-la às frameworks de conformidade. Para obter mais informações, consulte o guia de implementação do LZA.