Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS stratégie multi-comptes pour votre zone de landing zone AWS Control Tower
Les clients d'AWS Control Tower demandent souvent des conseils sur la manière de configurer leur AWS environnement et leurs comptes pour obtenir les meilleurs résultats.AWS a créé un ensemble unifié de recommandations, appelé stratégie multi-comptes, pour vous aider à utiliser au mieux vos AWS ressources, y compris votre zone de landing zone AWS Control Tower.
AWS Control Tower agit essentiellement comme une couche d'orchestration qui fonctionne avec d'autres AWS services, qui vous aident à mettre en œuvre les recommandations AWS multi-comptes pour les AWS comptes et. AWS OrganizationsUne fois votre zone de landing zone configurée, AWS Control Tower continue de vous aider à maintenir vos politiques d'entreprise et vos pratiques de sécurité sur plusieurs comptes et charges de travail.
La plupart des zones d'atterrissage se développent au fil du temps. À mesure que le nombre d'unités organisationnelles (UO) et de comptes augmente dans votre zone de landing zone AWS Control Tower, vous pouvez étendre le déploiement de votre AWS Control Tower de manière à organiser efficacement vos charges de travail. Ce chapitre fournit des conseils prescriptifs sur la façon de planifier et de configurer votre zone d'atterrissage AWS Control Tower, conformément à la stratégie AWS multi-comptes, et de l'étendre au fil du temps.
Pour une discussion générale sur les meilleures pratiques pour les unités organisationnelles, voir Meilleures pratiques pour les unités organisationnelles dotées
AWS stratégie multi-comptes : guide des meilleures pratiques
AWS les meilleures pratiques pour un environnement bien conçu recommandent de séparer vos ressources et vos charges de travail sur plusieurs comptes. AWS Vous pouvez considérer les AWS comptes comme des conteneurs de ressources isolés : ils permettent de catégoriser la charge de travail et de réduire le rayon d'action en cas de problème.
- Définition d'un AWS compte
-
Un AWS compte fait office de conteneur de ressources et de limite d'isolation des ressources.
Note
Un AWS compte n'est pas la même chose qu'un compte utilisateur, qui est configuré via Federation ou AWS Identity and Access Management (IAM).
En savoir plus sur AWS les comptes
Un AWS compte permet d'isoler les ressources et de contenir les menaces de sécurité pour vos AWS charges de travail. Un compte fournit également un mécanisme de facturation et de gouvernance d'un environnement de charge de travail.
Le AWS compte est le principal mécanisme de mise en œuvre permettant de fournir un conteneur de ressources pour vos charges de travail. Si votre environnement est bien conçu, vous pouvez gérer efficacement plusieurs AWS comptes, et ainsi gérer plusieurs charges de travail et environnements.
AWS Control Tower met en place un environnement bien conçu. Il repose également sur AWS des comptes qui aident à gérer les modifications apportées à votre environnement qui peuvent s'étendre à plusieurs comptes. AWS Organizations
- Définition d'un environnement bien conçu
-
AWS définit un environnement bien conçu comme un environnement qui commence par une zone d'atterrissage.
AWS Control Tower propose une zone d'atterrissage configurée automatiquement. Il applique des contrôles pour garantir le respect des directives de votre entreprise, sur plusieurs comptes de votre environnement.
- Définition d'une zone d'atterrissage
-
La zone de landing zone est un environnement cloud qui propose un point de départ recommandé, notamment les comptes par défaut, la structure des comptes, les configurations réseau et de sécurité, etc. À partir d'une zone d'atterrissage, vous pouvez déployer des charges de travail qui utilisent vos solutions et applications.
Directives pour la mise en place d'un environnement bien conçu
Les trois éléments clés d'un environnement bien conçu, expliqués dans les sections suivantes, sont les suivants :
-
AWS Comptes multiples
-
Plusieurs unités organisationnelles (UO)
-
Une structure bien planifiée
Utiliser plusieurs comptes AWS
Un seul compte ne suffit pas pour configurer un environnement bien conçu. En utilisant plusieurs comptes, vous pouvez mieux soutenir vos objectifs de sécurité et vos processus métier. Voici quelques avantages de l'utilisation d'une approche multi-comptes :
-
Contrôles de sécurité — Les applications ont des profils de sécurité différents, elles nécessitent donc des politiques et des mécanismes de contrôle différents. Par exemple, il est beaucoup plus facile de parler à un auditeur et de lui indiquer un seul compte hébergeant la charge de travail du secteur des cartes de paiement (PCI).
-
Isolation — Un compte est une unité de protection de sécurité. Les risques potentiels et les menaces de sécurité peuvent être maîtrisés dans un compte sans affecter les autres. Par conséquent, pour des raisons de sécurité, vous devrez peut-être isoler les comptes les uns des autres. Par exemple, vous pouvez avoir des équipes avec des profils de sécurité différents.
-
De nombreuses équipes — Les équipes ont des responsabilités et des besoins en ressources différents. En configurant plusieurs comptes, les équipes ne peuvent pas interférer les unes avec les autres, comme c'est le cas lorsqu'elles utilisent le même compte.
-
Isolation des données : isoler les banques de données d'un compte permet de limiter le nombre de personnes ayant accès aux données et pouvant gérer la banque de données. Cette isolation permet d'empêcher l'exposition non autorisée de données hautement privées. Par exemple, l'isolation des données contribue au respect du règlement général sur la protection des données (RGPD).
-
Processus métier — Les unités commerciales ou les produits ont souvent des objectifs et des processus complètement différents. Des comptes individuels peuvent être établis pour répondre aux besoins spécifiques de l'entreprise.
-
Facturation — Un compte est le seul moyen de séparer les éléments au niveau de la facturation, y compris les frais de transfert, etc. La stratégie multi-comptes permet de créer des articles facturables distincts entre les unités commerciales, les équipes fonctionnelles ou les utilisateurs individuels.
-
Allocation de AWS quotas : les quotas sont établis pour chaque compte. La séparation des charges de travail dans différents comptes confère à chaque compte (tel qu'un projet) un quota individuel bien défini.
Utiliser plusieurs unités organisationnelles
AWS Control Tower et d'autres frameworks d'orchestration de comptes peuvent apporter des modifications qui dépassent les limites des comptes. Par conséquent, les AWS meilleures pratiques concernent les modifications entre comptes, qui peuvent potentiellement perturber un environnement ou compromettre sa sécurité. Dans certains cas, les modifications peuvent affecter l'environnement global, au-delà des politiques. Par conséquent, nous vous recommandons de configurer au moins deux comptes obligatoires, Production et Staging.
En outre, les AWS comptes sont souvent regroupés en unités organisationnelles (UO), à des fins de gouvernance et de contrôle. Les unités d'organisation sont conçues pour gérer l'application des politiques sur plusieurs comptes.
Nous vous recommandons de créer au minimum un environnement de pré-production (ou de mise en scène) distinct de votre environnement de production, avec des contrôles et des politiques distincts. Les environnements de production et de préparation peuvent être créés et gérés comme des unités d'organisation distinctes, et facturés sous forme de comptes distincts. En outre, vous souhaiterez peut-être configurer une unité d'organisation Sandbox pour tester le code.
Utilisez une structure bien planifiée pour les UO dans votre zone d'atterrissage
AWS Control Tower configure automatiquement certaines unités d'organisation pour vous. À mesure que vos charges de travail et vos exigences augmentent au fil du temps, vous pouvez étendre la configuration initiale de la zone d'atterrissage en fonction de vos besoins.
Note
Les noms donnés dans les exemples suivent les conventions de AWS dénomination suggérées pour la configuration d'un AWS environnement multi-comptes. Vous pouvez renommer vos UO après avoir configuré votre zone de landing zone, en sélectionnant Modifier sur la page détaillée de l'UO.
Recommandations
Une fois qu'AWS Control Tower a configuré la première unité d'organisation requise pour vous, l'unité d'organisation de sécurité, nous vous recommandons de créer des unités d'organisation supplémentaires dans votre zone de landing zone.
Nous vous recommandons d'autoriser AWS Control Tower à créer au moins une unité d'organisation supplémentaire, appelée unité d'organisation Sandbox. Cette unité d'organisation est destinée à vos environnements de développement logiciel. AWS Control Tower peut configurer l'unité d'organisation Sandbox pour vous lors de la création de la zone de landing zone, si vous la sélectionnez.
Deux autres unités d'organisation recommandées que vous pouvez configurer vous-même : l'unité d'organisation d'infrastructure, pour contenir vos services partagés et vos comptes réseau, et une unité d'organisation pour contenir vos charges de travail de production, appelée unité d'organisation de charges de travail. Vous pouvez ajouter des unités d'organisation supplémentaires dans votre zone de landing via la console AWS Control Tower sur la page Organizational units.
UO recommandées en plus de celles configurées automatiquement
-
Infrastructure UO : contient vos services partagés et vos comptes réseau.
Note
AWS Control Tower ne configure pas l'unité d'organisation de l'infrastructure pour vous.
-
Sandbox OU : unité d'organisation de développement logiciel. Par exemple, il peut avoir une limite de dépenses fixe ou ne pas être connecté au réseau de production.
Note
AWS Control Tower vous recommande de configurer l'unité d'organisation Sandbox, mais c'est facultatif. Il peut être configuré automatiquement dans le cadre de la configuration de votre zone d'atterrissage.
-
UO de charges de travail : contient les comptes qui exécutent vos charges de travail.
Note
AWS Control Tower ne configure pas l'unité d'organisation Workloads pour vous.
Pour plus d'informations, consultez la section Organisation du démarrage de la production avec AWS Control Tower.
Exemple d'AWS Control Tower avec une structure d'unité d'organisation multi-comptes complète
AWS Control Tower prend en charge une hiérarchie d'unités d'organisation imbriquées, ce qui signifie que vous pouvez créer une structure d'unité organisationnelle hiérarchique répondant aux exigences de votre organisation. Vous pouvez créer un environnement AWS Control Tower conforme aux directives de stratégie AWS multi-comptes.
Vous pouvez également créer une structure d'unité d'organisation plus simple et plate, performante et conforme aux directives AWS multi-comptes. Ce n'est pas parce que vous pouvez créer une structure d'unité d'organisation hiérarchique que vous devez le faire.
-
Pour consulter un schéma illustrant un ensemble d'unités d'organisation dans un environnement AWS Control Tower étendu et plat, avec des instructions relatives à AWS plusieurs comptes, voir Exemple : charges de travail dans une structure d'unité d'organisation plate.
-
Pour plus d'informations sur le fonctionnement d'AWS Control Tower avec des structures d'unité d'organisation imbriquées, consultezUO imbriquées dans AWS Control Tower.
-
Pour plus d'informations sur la manière dont AWS Control Tower s'aligne sur les AWS directives, consultez le livre AWS blanc intitulé Organizing Your AWS Environment Using Multiple Accounts.
Le schéma de la page liée montre que davantage d'UO de base et d'UO supplémentaires ont été créées. Ces unités d'organisation répondent aux besoins supplémentaires d'un déploiement de plus grande envergure.
Dans la colonne UO de base, deux unités d'organisation ont été ajoutées à la structure de base :
-
Security_Prod OU — Fournit une zone en lecture seule pour les politiques de sécurité, ainsi qu'une zone d'audit de sécurité révolutionnaire.
-
UO d'infrastructure — Vous souhaiterez peut-être séparer l'unité d'organisation d'infrastructure, recommandée précédemment, en deux unités d'organisation, Infrastructure_Test (pour l'infrastructure de pré-production) et Infrastructure_Prod (pour l'infrastructure de production).
Dans la zone UO supplémentaires, plusieurs UO supplémentaires ont été ajoutées à la structure de base. Voici les prochaines unités d'organisation recommandées à créer au fur et à mesure que votre environnement se développe :
-
UO de charges de travail — L'unité d'organisation de charges de travail, recommandée précédemment mais facultative, a été séparée en deux unités d'organisation, Workloads_Test (pour les charges de travail de pré-production) et Workloads_Prod (pour les charges de travail de production).
-
PolicyStaging OU : permet aux administrateurs système de tester les modifications apportées aux contrôles et aux politiques avant de les appliquer pleinement.
-
UO suspendue : permet de localiser les comptes qui ont peut-être été temporairement désactivés.
À propos de The Root
La racine n'est pas une UO. Il s'agit d'un conteneur pour le compte de gestion, ainsi que pour tous les UO et comptes de votre organisation. Conceptuellement, la racine contient toutes les unités d'organisation. Il ne peut pas être supprimé. Vous ne pouvez pas gérer les comptes inscrits au niveau root dans AWS Control Tower. Gérez plutôt les comptes inscrits au sein de vos unités d'organisation. Pour un schéma utile, consultez la AWS Organizations documentation.
