Criar uma zona de pouso - AWS Orientação prescritiva
Práticas recomendadas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar uma zona de pouso

Uma landing zone é um AWS ambiente de várias contas bem arquitetado que é um ponto de partida a partir do qual você pode implantar cargas de trabalho e aplicativos. Ele fornece uma linha de base para começar com arquitetura de várias contas, gerenciamento de identidade e acesso, governança, segurança de dados, design de rede e log. O AWS Control Tower é um serviço que simplifica a manutenção e a governança de um ambiente com várias contas por meio do fornecimento grades de proteção automatizadas. Normalmente, você provisiona uma única AWS Control Tower landing zone que gerencia seu ambiente em todas as áreas Regiões da AWS. AWS Control Tower funciona orquestrando outras pessoas Serviços da AWS em sua conta. Para obter mais informações, consulte O que acontece quando você configura uma landing zone (AWS Control Tower documentação).

Ao configurar uma landing zone com AWS Control Tower, você identifica três contas compartilhadas: a conta de gerenciamento, a conta de arquivamento de registros e a conta de auditoria. Para obter mais informações, consulte O que são as contas compartilhadas (AWS Control Tower documentação). Para a conta de gerenciamento, você deve usar uma conta existente que não esteja hospedando nenhuma workload para configurar a zona de pouso. Para o arquivo de registros e as contas de auditoria, você pode optar por reutilizar Contas da AWS as existentes ou AWS Control Tower criá-las para você.

Para obter instruções sobre como configurar seu AWS Control Tower landing zone, consulte Introdução (AWS Control Tower documentação).

Práticas recomendadas

  • Siga as melhores práticas nos princípios de design para sua estratégia de várias contas (AWS Whitepaper).

  • Siga as melhores práticas para AWS Control Tower administradores (AWS Control Tower documentação).

  • Crie sua landing zone na Região da AWS que hospeda a maioria das suas cargas de trabalho.

    Importante

    Se você decidir mudar essa região depois de implantar sua zona de pouso, precisará da AWS Support ajuda e deverá descomissionar a zona de pouso. Esta prática não é recomendada.

  • Ao determinar quais regiões AWS Control Tower governarão, selecione somente as regiões nas quais você espera implantar cargas de trabalho imediatamente. É possível alterar essas regiões ou adicionar outras posteriormente. Se AWS Control Tower governar uma região, implantará suas grades de proteção de detetive nessa região como. Regras do AWS Config

  • Depois de determinar quais regiões AWS Control Tower governarão, negue o acesso a todas as regiões não governadas. Isso ajuda a garantir que suas workloads e os desenvolvedores só possam usar as Regiões da AWS aprovadas. Isso é implementado como uma política de controle de serviços (SCP) na organização. Para obter mais informações, consulte Configurar o controle de Região da AWS negação (AWS Control Tower documentação).

  • Ao configurar sua landing zone em AWS Control Tower, recomendamos que você renomeie o seguinte OUs e as contas:

    • Recomendamos renomear a OU Security para Security_Prod para significar que essa OU será usada para Contas da AWS relacionadas à segurança da produção.

    • Recomendamos que você permita AWS Control Tower criar uma OU adicional e depois renomeá-la de Sandbox para Workloads. Na próxima seção, você cria mais OUs na UO de cargas de trabalho, que você usa para organizar sua Contas da AWS.

    • Recomendamos que você renomeie o registro centralizado Conta da AWS do Log Archive para. log-archive-prod

    • Recomendamos que você renomeie a conta de auditoria de Auditoria para security-tooling-prod.

  • Para ajudar a evitar fraudes, é AWS necessário que Contas da AWS tenham um histórico de uso antes de serem adicionados a um AWS Control Tower landing zone. Se você estiver usando uma nova Conta da AWS sem nenhum histórico de uso, na nova conta, você pode iniciar uma instância do Amazon Elastic Compute Cloud (Amazon EC2) que não esteja no nível AWS gratuito. Mantenha instância em execução por alguns minutos e, em seguida, encerre-a.