As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Visão geral
Trabalhamos com uma empresa farmacêutica multinacional para realizar atividades de prova de conceito (PoC) na AWS a fim de analisar como ela poderia migrar suas aplicações on-premises para a Nuvem AWS. Quando começaram a escalar e acelerar seu fluxo de trabalho de migração para incluir workloads de produção, ficou claro que precisavam de uma zona de pouso da AWS regulamentada e compatível para apoiar sua meta. Usamos o AWS Control Tower para projetar e implementar uma nova zona de pouso da AWS.
Um aspecto importante de uma nova zona de pouso da AWS e de sua organização é a estrutura de suas unidades organizacionais (UOs). Uma UO é um agrupamento lógico de Contas da AWS criadas usando o AWS Organizations. Você pode usar UOs para organizar as Contas da AWS em uma hierarquia e aplicar controles de gerenciamento e governança de forma consistente e mais fácil.
Você pode anexar controles baseados em políticas a uma UO e a Contas da AWS. As UOs secundárias em uma UO herdam automaticamente esses controles. Portanto, as UOs desempenham um papel fundamental no gerenciamento da segurança e da governança no AWS Organizations.
Uma política é um documento JSON que inclui uma ou mais instruções que definem os controles que você deseja aplicar a um grupo de Contas da AWS. O AWS Organizationsatualmente é compatível com quatro tipos de políticas, também conhecidas como políticas de controle de serviços (SCPs). Um SCP define as ações e os Serviços da AWS que estão disponíveis para uso em diferentes Contas da AWS. Por exemplo, você pode usar uma SCP para exigir que a instância do Amazon Elastic Compute Cloud (Amazon EC2) seja inicializada com um tipo de instância específico.
Tipos de políticas
Os tipos de política SCP incluem o seguinte:
-
Listas de permissões e listas de negações são estratégias complementares que você pode usar para aplicar SCPs para filtrar as permissões disponíveis para as contas.
-
As políticas de marcação ajudam você a manter tags consistentes, incluindo o tratamento preferencial de maiúsculas e minúsculas de chaves e os valores das tags nas contas.
-
As políticas de backup configuram os backups para os tipos de recursos compatíveis, como a janela de tempo do backup e os cofres de destino para backups nas Regiões da AWS.
-
As políticas de exclusão de serviços de IA possibilitam ou não a melhoria contínua dos serviços de inteligência artificial da AWS em todo o mundo.
Política de comportamento herdado: quando você anexa uma política a uma UO específica, as contas que estão diretamente sob essa UO ou qualquer UO secundária herdam a política. Quando você anexa uma política a uma conta específica, ela afeta apenas essa conta. Você pode substituir políticas herdadas introduzindo políticas de exceção. A herança permite explicitamente que todas as permissões fluam da raiz (UO) para cada Conta da AWS nessa UO e na UO secundária, a menos que você negue explicitamente uma permissão. Para negar uma permissão, você cria uma política adicional e a anexa à UO apropriada ou à Conta da AWS. Para obter mais informações sobre exceções e herança de políticas, consulte a documentação do AWS Organizations.
O AWS Control Tower também fornece seu próprio conjunto de controles preventivos e de detecção (também chamados de barreiras de proteção) usando a estrutura da UO. Os controles preventivos do AWS Control Tower evitam ações usando os SCPs no AWS Organizations. Controles de detecção reportam sobre o desvio configuracional em relação ao controle usando o AWS Config. Para obter mais informações sobre esses controles, consulte a documentação do AWS Control Tower.
Você também pode habilitar o AWS Security Hub CSPM para automatizar as verificações de práticas recomendadas de segurança, agregar alertas de segurança em um único local e formato e entender a postura geral de segurança em todas as suas Contas da AWS.
