Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Estructura de cuentas dedicadas
| Influya en el futuro de la arquitectura de referencia de AWS seguridad (AWS SRA) realizando una breve encuesta |
Una AWS cuenta proporciona límites de seguridad, acceso y facturación para sus AWS recursos, y le permite lograr la independencia y el aislamiento de los recursos. De forma predeterminada, no se permite el acceso entre cuentas.
Al diseñar su unidad organizativa y su estructura contable, comience teniendo en cuenta la seguridad y la infraestructura. Recomendamos crear un conjunto de elementos fundamentales OUs para estas funciones específicas, divididos en infraestructura y seguridadOUs. Estas recomendaciones de unidades organizativas y cuentas capturan un subconjunto de nuestras directrices más amplias y completas para las AWS organizaciones y el diseño de estructuras de cuentas múltiples. Para obtener un conjunto completo de recomendaciones, consulte Organizar su AWS entorno mediante varias cuentas en la AWS documentación y en la entrada del blog Best Practices for Organizational Units with AWS Organizations
AWSSRAUtiliza las siguientes cuentas para llevar a cabo operaciones de seguridad eficaces enAWS. Estas cuentas dedicadas ayudan a garantizar la separación de funciones, respaldan diferentes políticas de gobernanza y acceso para diferentes tipos de aplicaciones y datos confidenciales y ayudan a mitigar el impacto de un incidente de seguridad. En los debates que siguen, nos centraremos en las cuentas de producción (de producción) y sus cargas de trabajo asociadas. Las cuentas de ciclo de vida del desarrollo de software (SDLC) (que suelen denominarse cuentas de desarrollo y de prueba) están diseñadas para organizar los productos finales y pueden funcionar con un conjunto de políticas de seguridad diferente al de las cuentas de producción.
Cuenta |
OU |
Función de seguridad |
Administración
|
— |
Gobierno y gestión centrales de todas AWS las regiones y cuentas. La AWS cuenta que aloja la raíz de la AWS organización. |
Herramientas de seguridad |
Seguridad |
AWSCuentas dedicadas para operar servicios de seguridad de amplia aplicación (como Amazon GuardDuty, AWS Security Hub, AWS Audit Manager, Amazon Detective, Amazon Inspector y AWS Config), monitorear AWS cuentas y automatizar las alertas y respuestas de seguridad. (En AWS Control Tower, el nombre predeterminado de la cuenta de la OU de seguridad es Cuenta de auditoría). |
Archivo de registro |
Seguridad |
AWSCuentas dedicadas para incorporar y archivar todos los registros y copias de seguridad de todas las AWS regiones y AWS cuentas. Debe diseñarse como un almacenamiento inmutable. |
Network |
Infraestructura |
La puerta de enlace entre su aplicación e Internet en general. La cuenta de red aísla los servicios de red, la configuración y el funcionamiento más generales de las cargas de trabajo de las aplicaciones individuales, la seguridad y otras infraestructuras. |
Servicios compartidos |
Infraestructura |
Esta cuenta admite los servicios que utilizan varias aplicaciones y equipos para ofrecer sus resultados. Algunos ejemplos son los servicios de directorio de Identity Center (Active Directory), los servicios de mensajería y los servicios de metadatos. |
Aplicación |
Cargas de trabajo |
AWScuentas que alojan las aplicaciones de la AWS organización y realizan las cargas de trabajo. (A veces se denominan cuentas de carga de trabajo). Las cuentas de aplicaciones deben crearse para aislar los servicios de software, en lugar de asignarlas a sus equipos. Esto hace que la aplicación implementada sea más resistente a los cambios organizativos. |
