Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS stratégie multi-comptes pour votre zone de landing AWS zone de Control Tower
AWSLes clients de Control Tower demandent souvent des conseils sur la manière de configurer leur AWS environnement et leurs comptes pour obtenir les meilleurs résultats.AWS a créé un ensemble unifié de recommandations, appelé stratégie multi-comptes, pour vous aider à utiliser au mieux vos AWS ressources, y compris votre zone d'atterrissage de la AWS Control Tower.
AWSControl Tower agit essentiellement comme une couche d'orchestration qui fonctionne avec d'autres AWS services, qui vous aident à mettre en œuvre les recommandations AWS multi-comptes pour les AWS comptes et. AWS Organizations Une fois votre zone de landing zone configurée, AWS Control Tower continue de vous aider à appliquer les politiques et les pratiques de sécurité de votre entreprise sur plusieurs comptes et charges de travail.
La plupart des zones d'atterrissage se développent au fil du temps. À mesure que le nombre d'unités organisationnelles (OUs) et de comptes augmente dans votre zone d'atterrissage de AWS Control Tower, vous pouvez étendre le déploiement de votre AWS Control Tower de manière à organiser efficacement vos charges de travail. Ce chapitre fournit des conseils prescriptifs sur la façon de planifier et de configurer votre zone d'atterrissage AWS Control Tower, conformément à la stratégie AWS multi-comptes, et de l'étendre au fil du temps.
Pour une discussion générale sur les meilleures pratiques pour les unités organisationnelles, voir Meilleures pratiques pour les unités organisationnelles dotées
AWS stratégie multi-comptes : guide des meilleures pratiques
AWS les meilleures pratiques pour un environnement bien conçu recommandent de séparer vos ressources et vos charges de travail sur plusieurs comptes. AWS Vous pouvez considérer les AWS comptes comme des conteneurs de ressources isolés : ils permettent de catégoriser la charge de travail et de réduire le rayon d'action en cas de problème.
- Définition d'un AWS compte
-
Un AWS compte fait office de conteneur de ressources et de limite d'isolation des ressources.
Note
Un AWS compte n'est pas la même chose qu'un compte utilisateur, qui est configuré via Federation ou AWS Identity and Access Management (IAM).
En savoir plus sur AWS les comptes
Un AWS compte permet d'isoler les ressources et de contenir les menaces de sécurité pour vos AWS charges de travail. Un compte fournit également un mécanisme de facturation et de gouvernance d'un environnement de charge de travail.
Le AWS compte est le principal mécanisme de mise en œuvre permettant de fournir un conteneur de ressources pour vos charges de travail. Si votre environnement est bien conçu, vous pouvez gérer efficacement plusieurs AWS comptes et, par conséquent, gérer plusieurs charges de travail et environnements.
AWSControl Tower met en place un environnement bien conçu. Il s'appuie également sur AWS des comptes qui aident à gérer les modifications apportées à votre environnement qui peuvent s'étendre à plusieurs comptes. AWS Organizations
- Définition d'un environnement bien conçu
-
AWS définit un environnement bien conçu comme un environnement qui commence par une zone d'atterrissage.
AWSControl Tower propose une zone d'atterrissage configurée automatiquement. Il applique des contrôles pour garantir le respect des directives de votre entreprise, sur plusieurs comptes de votre environnement.
- Définition d'une zone d'atterrissage
-
La zone de landing zone est un environnement cloud qui propose un point de départ recommandé, notamment les comptes par défaut, la structure des comptes, les configurations réseau et de sécurité, etc. À partir d'une zone de landing zone, vous pouvez déployer des charges de travail qui utilisent vos solutions et applications.
Directives pour la mise en place d'un environnement bien conçu
Les trois éléments clés d'un environnement bien conçu, expliqués dans les sections suivantes, sont les suivants :
-
AWS Comptes multiples
-
Unités organisationnelles multiples (OUs)
-
Une structure bien planifiée
Utiliser plusieurs AWS comptes
Un seul compte ne suffit pas pour configurer un environnement bien conçu. En utilisant plusieurs comptes, vous pouvez mieux répondre à vos objectifs de sécurité et à vos processus métier. Voici quelques avantages de l'utilisation d'une approche multi-comptes :
-
Contrôles de sécurité — Les applications ont des profils de sécurité différents, elles nécessitent donc des politiques et des mécanismes de contrôle différents. Par exemple, il est beaucoup plus facile de parler à un auditeur et de lui indiquer un seul compte hébergeant la charge de travail du secteur des cartes de paiement (PCI).
-
Isolation — Un compte est une unité de protection de sécurité. Les risques potentiels et les menaces de sécurité peuvent être maîtrisés dans un compte sans affecter les autres. Par conséquent, pour des raisons de sécurité, vous devrez peut-être isoler les comptes les uns des autres. Par exemple, vous pouvez avoir des équipes avec des profils de sécurité différents.
-
De nombreuses équipes — Les équipes ont des responsabilités et des besoins en ressources différents. En configurant plusieurs comptes, les équipes ne peuvent pas interférer les unes avec les autres, comme c'est le cas lorsqu'elles utilisent le même compte.
-
Isolation des données : isoler les banques de données d'un compte permet de limiter le nombre de personnes ayant accès aux données et pouvant gérer la banque de données. Cette isolation permet d'empêcher l'exposition non autorisée de données hautement privées. Par exemple, l'isolation des données contribue au respect du règlement général sur la protection des données (GDPR).
-
Processus métier — Les unités commerciales ou les produits ont souvent des objectifs et des processus complètement différents. Des comptes individuels peuvent être établis pour répondre aux besoins spécifiques de l'entreprise.
-
Facturation — Un compte est le seul moyen de séparer les éléments au niveau de la facturation, y compris les frais de transfert, etc. La stratégie multi-comptes permet de créer des articles facturables distincts entre les unités commerciales, les équipes fonctionnelles ou les utilisateurs individuels.
-
Allocation de AWS quotas : les quotas sont établis pour chaque compte. La séparation des charges de travail dans différents comptes confère à chaque compte (tel qu'un projet) un quota individuel bien défini.
Utiliser plusieurs unités organisationnelles
AWSControl Tower et d'autres structures d'orchestration de comptes peuvent apporter des modifications qui dépassent les limites des comptes. Par conséquent, les AWS meilleures pratiques concernent les modifications entre comptes, qui peuvent potentiellement perturber un environnement ou compromettre sa sécurité. Dans certains cas, les modifications peuvent affecter l'environnement global, au-delà des politiques. Par conséquent, nous vous recommandons de configurer au moins deux comptes obligatoires, Production et Staging.
En outre, les AWS comptes sont souvent regroupés en unités organisationnelles (OUs), à des fins de gouvernance et de contrôle. OUssont conçus pour gérer l'application des politiques sur plusieurs comptes.
Nous vous recommandons de créer au minimum un environnement de pré-production (ou de mise en scène) distinct de votre environnement de production, avec des contrôles et des politiques distincts. Les environnements de production et de mise en scène peuvent être créés et gérés séparémentOUs, et facturés sous forme de comptes distincts. En outre, vous souhaiterez peut-être configurer une unité d'organisation Sandbox pour tester le code.
Utilisez une structure bien planifiée pour votre OUs zone d'atterrissage
AWSControl Tower en configure certaines automatiquement OUs pour vous. À mesure que vos charges de travail et vos exigences augmentent au fil du temps, vous pouvez étendre la configuration initiale de la zone d'atterrissage en fonction de vos besoins.
Note
Les noms donnés dans les exemples suivent les conventions de AWS dénomination suggérées pour la configuration d'un AWS environnement multi-comptes. Vous pouvez renommer votre unité OUs après avoir configuré votre zone d'atterrissage en sélectionnant Modifier sur la page détaillée de l'UO.
Recommandations
Une fois que AWS Control Tower a configuré la première unité d'organisation requise pour vous, l'unité d'organisation de sécurité, nous vous recommandons d'en créer une autre OUs dans votre zone de landing zone.
Nous vous recommandons d'autoriser AWS Control Tower à créer au moins une unité d'organisation supplémentaire, appelée unité d'organisation Sandbox. Cette unité d'organisation est destinée à vos environnements de développement logiciel. AWSControl Tower peut configurer l'unité d'organisation Sandbox pour vous lors de la création de la zone d'atterrissage, si vous la sélectionnez.
OUsVous pouvez en configurer vous-même deux autres : l'unité d'organisation d'infrastructure, pour contenir vos services partagés et vos comptes réseau, et une unité d'organisation pour contenir vos charges de travail de production, appelée unité d'organisation des charges de travail. Vous pouvez en ajouter d'autres OUs dans votre zone de landing zone via la console AWS Control Tower sur la page Organizational units.
OUsRecommandé en plus de ceux configurés automatiquement
-
Infrastructure UO : contient vos services partagés et vos comptes réseau.
Note
AWSControl Tower ne configure pas l'unité d'organisation de l'infrastructure pour vous.
-
Sandbox OU : unité d'organisation de développement logiciel. Par exemple, il peut avoir une limite de dépenses fixe ou ne pas être connecté au réseau de production.
Note
AWSControl Tower vous recommande de configurer l'unité d'organisation Sandbox, mais c'est facultatif. Il peut être configuré automatiquement dans le cadre de la configuration de votre zone d'atterrissage.
-
UO de charges de travail : contient les comptes qui exécutent vos charges de travail.
Note
AWSControl Tower ne configure pas l'unité d'organisation Workloads pour vous.
Pour plus d'informations, voir Organisation du démarrage de la production avec AWS Control Tower.
Exemple de AWS Control Tower avec une structure d'unité d'organisation multi-comptes complète
AWSControl Tower prend en charge une hiérarchie d'unités d'organisation imbriquées, ce qui signifie que vous pouvez créer une structure d'unité organisationnelle hiérarchique répondant aux exigences de votre organisation. Vous pouvez créer un environnement AWS Control Tower conforme aux directives de stratégie AWS multi-comptes.
Vous pouvez également créer une structure d'unité d'organisation plus simple et plate, performante et conforme aux directives AWS multi-comptes. Ce n'est pas parce que vous pouvez créer une structure d'unité d'organisation hiérarchique que vous devez le faire.
-
Pour consulter un schéma illustrant un ensemble d'exemples OUs dans un environnement AWS Control Tower étendu et plat avec des instructions AWS multicomptes, voir Exemple : charges de travail dans une structure d'unité d'organisation plate.
-
Pour plus d'informations sur le fonctionnement AWS de Control Tower avec des structures d'unité d'organisation imbriquées, consultezUO imbriquées dans AWS Control Tower.
-
Pour plus d'informations sur la manière dont AWS Control Tower s'aligne sur les AWS recommandations, consultez le AWS white paper, Organizing Your AWS Environment Using Multiple Accounts.
Le diagramme sur la page liée montre que davantage de fondamentaux OUs et d'autres supplémentaires OUs ont été créés. Ils OUs répondent aux besoins supplémentaires d'un déploiement de plus grande envergure.
Dans la OUs colonne Fondational, deux OUs ont été ajoutés à la structure de base :
-
Security_Prod OU — Fournit une zone en lecture seule pour les politiques de sécurité, ainsi qu'une zone d'audit de sécurité dédiée aux pare-feux.
-
UO d'infrastructure — Vous souhaiterez peut-être séparer l'unité d'organisation d'infrastructure, recommandée précédemment, en deuxOUs, Infrastructure_Test (pour l'infrastructure de pré-production) et Infrastructure_Prod (pour l'infrastructure de production).
Dans la OUs zone supplémentaire, plusieurs autres OUs ont été ajoutés à la structure de base. Voici les prochaines recommandations OUs à créer au fur et à mesure que votre environnement se développe :
-
UO des charges de travail : l'unité d'organisation des charges de travail, recommandée précédemment mais facultative, a été séparée en deuxOUs, Workloads_Test (pour les charges de travail de pré-production) et Workloads_Prod (pour les charges de travail de production).
-
PolicyStaging OU : permet aux administrateurs système de tester les modifications apportées aux contrôles et aux politiques avant de les appliquer pleinement.
-
UO suspendue : permet de localiser les comptes qui ont peut-être été temporairement désactivés.
À propos de The Root
La racine n'est pas une UO. Il s'agit d'un conteneur pour le compte de gestion et pour tous les OUs comptes de votre organisation. Conceptuellement, la racine contient tous lesOUs. Il ne peut pas être supprimé. Vous ne pouvez pas gérer les comptes inscrits au niveau root dans AWS Control Tower. Gérez plutôt les comptes inscrits au sein de votreOUs. Pour un schéma utile, consultez la AWS Organizations documentation.