AWSOrganisation und Kontostruktur der AWS SRA - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWSOrganisation und Kontostruktur der AWS SRA

Nehmen Sie an einer kurzen Umfrage teil, um die future der AWS Security Reference Architecture (AWS SRA) mitzugestalten.

Das folgende Diagramm zeigt die allgemeine Struktur von, AWS SRA ohne dass spezifische Dienste angezeigt werden. Es spiegelt die Struktur der speziellen Konten wider, die im vorherigen Abschnitt erörtert wurde, und wir fügen das Diagramm hier hinzu, um die Diskussion auf die Hauptkomponenten der Architektur zu konzentrieren:

  • Alle Konten, die im Diagramm dargestellt werden, sind Teil einer einzigen AWS Organisation.

  • In der oberen linken Ecke des Diagramms befindet sich das Org Management-Konto, mit dem die AWS Organisation erstellt wird.

  • Unter dem Org Management-Konto befindet sich die Security OU mit zwei spezifischen Konten: eines für Security Tooling und das andere für Log Archive.

  • Auf der rechten Seite befindet sich die Infrastruktur-OU mit dem Netzwerkkonto und dem Shared Services-Konto.

  • Am unteren Rand des Diagramms befindet sich die Organisationseinheit Workloads, die einem Anwendungskonto zugeordnet ist, in dem sich die Unternehmensanwendung befindet.

Für diese Anleitung gelten alle Konten als Produktionskonten (Produktionskonten), die in einer einzigen AWS Region betrieben werden. Die meisten AWS Dienste (mit Ausnahme globaler Dienste) sind regional ausgerichtet, was bedeutet, dass die Steuerungs- und Datenebenen für den Dienst in jeder Region unabhängig voneinander existieren. AWS Aus diesem Grund müssen Sie diese Architektur in allen AWS Regionen replizieren, die Sie verwenden möchten, um sicherzustellen, dass Ihre gesamte Landschaft abgedeckt ist. AWS Wenn Sie in einer bestimmten AWS Region keine Workloads haben, sollten Sie die Region deaktivieren, indem Sie Protokollierungs- und Überwachungsmechanismen verwenden SCPsoder verwenden. Sie können AWS Security Hub verwenden, um Ergebnisse und Sicherheitsbewertungen aus mehreren AWS Regionen in einer einzigen Aggregationsregion zusammenzufassen, um eine zentrale Sichtbarkeit zu gewährleisten.

Wenn Sie ein AWS Unternehmen mit einer großen Anzahl von Konten hosten, ist es von Vorteil, über eine Orchestrierungsebene zu verfügen, die die Kontobereitstellung und Kontoverwaltung erleichtert. AWS Control Tower bietet eine einfache Möglichkeit, eine Umgebung mit AWS mehreren Konten einzurichten und zu verwalten. Die AWS SRA Codebeispiele im GitHubRepository zeigen, wie Sie die CfCT-Lösung (Customizations for AWS Control Tower) verwenden können, um AWS SRA empfohlene Strukturen bereitzustellen.

Struktur auf hoher Ebene der AWS SRA (ohne Dienste)