View a markdown version of this page

Lições aprendidas e práticas recomendadas - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Lições aprendidas e práticas recomendadas

  • O design da estrutura da UO não é um esforço único. À medida que uma empresa aumenta a adoção da nuvem e migra workloads adicionais para a zona de pouso da AWS, seu design de UO (e implicitamente seu conceito de políticas) também evoluirá naturalmente.

  • Não confunda UOs com pastas; considere-asum alvo para políticas. As UOs e sua hierarquia fornecem o elemento estruturante das Contas da AWS e devem sempre ser tratadas como contêineres para políticas. Recomendamos que você coloque tudas as Contas da AWS que exigem o mesmo conjunto de políticas na mesma UO. Essa diretriz também se estende às UOs aninhadas (UOs dentro de UOs).

    Os ambientes da AWS que exigem funcionalidade compartilhada de forma centralizada e recursos de compartilhamento de dados entre workloads (que são frequentemente vistos em plataformas de dados corporativos) são mais fáceis de acomodar em uma estrutura de UO que não se baseia na classificação de funções de linhas de negócios (LOB). Por exemplo, um ambiente de produção para uma aplicação de manufatura não é diferente de um ambiente de produção para uma aplicação de analytics de ensaios clínicos em termos de políticas no AWS Organizations.

  • Respeite e use a herança. Quando você anexa uma política a uma UO específica, as Contas da AWS que estão diretamente sob essa UO ou qualquer UO secundária herdam a política. Quando você anexa uma política a uma Conta da AWS específica, ela afeta apenas essa Conta da AWS.

    O esforço de migração de uma estrutura de UO para outra depende de quão extensivamente as políticas existentes foram configuradas na UO ou no nível da Conta da AWS. Outro fator crucial é o grau de herança de políticas na hierarquia atual de UOs existentes, ou se a herança foi interrompida. A complexidade da migração aumenta com a implementação de caminhos de herança irregulares ou divergentes. Por exemplo, se você aplicar políticas no nível individual de Conta da AWS ou fizer exceções de políticas frequentes (que quebram a herança), migrar essas políticas para uma nova estrutura exigirá muito mais esforço. Nesses casos de alta complexidade, recomendamos que você invista tempo para revisar e redesenhar a herança de políticas durante o planejamento da migração.

  • Cuide das políticas do AWS Organizations e dos controles do AWS Control Tower. A estrutura da UO é compartilhada entre o AWS Control Tower e o AWS Organizations. O AWS Control Tower fornece seu próprio conjunto de controles preventivos e de detecção. Esses controles são aplicados no nível da Conta da AWS ou da UO. O AWS Organizations orquestra políticas no nível da UO. Em uma migração de UO, recomendamos que você migre as políticas do AWS Organizations primeiro, porque elas têm mais peso para a conformidade. Recomendamos que você aplique os controles do AWS Control Tower à nova estrutura de UO na segunda etapa de migração.

  • Leva algum tempo para a atualização das Contas da AWS. Você deve inscrever novamente as Contas da AWS existentes individualmente na nova estrutura da UO usando o AWS Control Tower. Isso leva algum tempo. Se você tiver um grande número de contas, recomendamos otimizar esse trabalho por meio de automação para controlar e automatizar o posicionamento das UO das Contas da AWS. Confira dois exemplos de cenários:

    • Alteração manual para uma pequena migração: o líder da migração reatribui cada Conta da AWS de sua antiga UO para sua nova UO no Console de gerenciamento da AWS. Quando essa reatribuição é concluída para todas as Contas da AWS, o líder de migração abre o AWS Control Tower para cada Conta da AWS separadamente ou para todas as UOs. A nova inscrição das Contas da AWS no AWS Control Tower requer de 10 a 15 minutos para cada Conta da AWS, dependendo do número de Regiões da AWS usadas na conta. O AWS Control Tower permite que até cinco operações simultâneas desse tipo sejam executadas em paralelo.

    • Automação personalizada de alterações: a automação simplifica e economiza esforços. Por exemplo, você pode automatizar o gerenciamento de um ciclo de vida da Conta da AWS desde sua criação até a migração e o encerramento. Você pode usar o AWS Control Tower Account Factory para alterar a atribuição da UO para uma Conta da AWS e executar o processo de nova inscrição. Essa automação é compatível com a migração em grande escala de centenas de Contas da AWS.