Bonnes pratiques pour la gestion des unités organisationnelles (OUs) avec AWS Organizations - AWS Organizations
Compréhension AWS OrganizationsFondement recommandé OUsSupplément recommandé OUsConclusion

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques pour la gestion des unités organisationnelles (OUs) avec AWS Organizations

Suivez ces recommandations pour vous aider à gérer un environnement multi-comptes dans AWS Organizations en utilisant des unités d'organisation (OUs).

Compréhension AWS Organizations

La base d'un multicompte bien conçu AWS l'environnement est AWS Organizations, qui vous permet de gérer et de gérer plusieurs comptes de manière centralisée. Une unité organisationnelle (UO) est un regroupement logique de comptes au sein d'une organisation. OUsvous permettent d'organiser vos comptes selon une hiérarchie et vous aident à appliquer des contrôles de gestion. Les politiques des organisations définissent les contrôles que vous pouvez appliquer à un groupe de Comptes AWS. Par exemple, une politique de contrôle des services (SCP) est une politique qui définit Service AWS actions, telles que Amazon EC2 Run Instance, que les comptes de votre organisation peuvent effectuer.

Bien que vous puissiez commencer votre AWS voyage avec un seul compte, AWS vous recommande de configurer plusieurs comptes à mesure que vos charges de travail augmentent en taille et en complexité. L'utilisation d'un environnement multi-comptes est AWS une bonne pratique qui peut offrir plusieurs avantages :

  • Innovation rapide avec diverses exigences : vous pouvez allouer Comptes AWS aux différentes équipes, projets ou produits de votre entreprise afin de garantir que chacun d'entre eux puisse innover rapidement tout en respectant ses propres exigences de sécurité.

  • Facturation simplifiée : utilisation de plusieurs Comptes AWS peut simplifier la façon dont vous répartissez vos AWS coût en aidant à identifier le produit ou la gamme de services responsable d'un AWS charge.

  • Contrôles de sécurité flexibles : vous pouvez utiliser plusieurs Comptes AWS pour isoler les charges de travail ou les applications soumises à des exigences de sécurité spécifiques ou soumises à des directives de conformité strictes, telles que HIPAA ouPCI.

  • Adaptez-vous aux processus métier : vous pouvez organiser plusieurs Comptes AWS d'une manière qui reflète au mieux les divers besoins des processus métier de votre entreprise, qui ont des exigences opérationnelles, réglementaires et budgétaires différentes.

Unité organisationnelle de base recommandée () OUs

Votre unité organisationnelle (OUs) doit être basée sur une fonction ou un ensemble de contrôles communs au lieu de refléter la structure hiérarchique de votre entreprise. AWS recommande de commencer en tenant compte de la sécurité et de l'infrastructure. La plupart des entreprises disposent d'équipes centralisées au service de l'ensemble de l'organisation pour répondre à ces besoins. Nous vous recommandons de créer un ensemble de bases OUs pour ces fonctions spécifiques :

  • Sécurité : utilisé pour les services de sécurité. Créez des comptes pour les archives de journaux, l'accès sécurisé en lecture seule, les outils de sécurité et Break-Glass.

  • Infrastructure : utilisée pour les services d'infrastructure partagés tels que les réseaux et les services informatiques. Créez des comptes pour chaque type de service d'infrastructure dont vous avez besoin.

Étant donné que la plupart des entreprises ont des exigences politiques différentes en matière de charges de travail de production, l'infrastructure et la sécurité peuvent avoir été imbriquées OUs pour la non-production (SDLC) et pour la production (Prod). Les comptes de l'unité d'organisation SDLC hébergent des charges de travail non liées à la production et ne doivent pas avoir de dépendances de production par rapport à d'autres comptes. Si les politiques de l'UO varient selon les étapes du cycle de vie, elles SDLC peuvent être divisées en plusieurs OUs (par exemple, développement et pré-production). Les comptes de l'unité d'organisation de production hébergent les charges de travail de production.

Appliquez des politiques au niveau de l'unité d'organisation pour régir le produit et l'SDLCenvironnement en fonction de vos besoins. En général, il est préférable d'appliquer des politiques au niveau de l'unité d'organisation plutôt qu'au niveau du compte individuel, car cela simplifie la gestion des politiques et les éventuels dépannages.

Le schéma suivant montre les éléments fondamentaux OUs (Prod etSDLC) de la sécurité et de l'infrastructure :

Cette image montre les éléments de base OUs (Prod etSDLC) de la sécurité et de l'infrastructure.

Une fois les services centraux en place, nous vous recommandons de créer des OUs services directement liés à la création ou à la gestion de vos produits ou services. Nombreux AWS les clients construisent ce qui suit OUs après avoir établi une base :

  • Bac à sable : peut Comptes AWS que les développeurs individuels peuvent utiliser pour expérimenter Services AWS. Assurez-vous que ces comptes peuvent être détachés des réseaux internes.

  • Charges de travail : contient Comptes AWS qui hébergent vos services applicatifs externes. Vous devez structurer les environnements OUs Under SDLC et Prod (similaires à ceux de baseOUs) afin d'isoler et de contrôler étroitement les charges de travail de production.

Nous vous recommandons également d'en ajouter d'autres OUs pour la maintenance et l'extension continue en fonction de vos besoins spécifiques. Voici quelques thèmes courants basés sur des pratiques existantes AWS clients :

  • Établissement des politiques : mises en attente AWS comptes où vous pouvez tester les modifications de politique proposées avant de les appliquer de manière générale à l'organisation. Commencez par mettre en œuvre les modifications au niveau du compte dans l'unité d'organisation prévue, puis appliquez-les lentement aux autres comptes et au reste de l'organisation. OUs

  • Suspendu : contient Comptes AWS qui ont été fermés et attendent d'être supprimés de l'organisation. Attachez SCP à cette UO un qui refuse toutes les actions. Assurez-vous que les comptes sont étiquetés avec des informations à des fins de traçabilité s'ils doivent être restaurés.

  • Utilisateurs professionnels individuels : unité d'organisation à accès limité qui contient Comptes AWS pour les utilisateurs professionnels (et non les développeurs) qui peuvent avoir besoin de créer des applications liées à la productivité de l'entreprise, par exemple configurer un compartiment S3 pour partager des rapports ou des fichiers avec un partenaire.

  • Exceptions : mises en attente Comptes AWS utilisé pour les cas d'utilisation professionnels présentant des exigences de sécurité ou d'audit hautement personnalisées, différentes de celles définies dans l'unité d'organisation Workloads. Par exemple, la mise en place d'un Compte AWS spécifiquement pour une nouvelle application ou fonctionnalité confidentielle. SCPsUtilisez-le au niveau du compte pour répondre à des besoins personnalisés. Envisagez de configurer un système Detect and React à l'aide d'Amazon EventBridge et AWS Config règles.

  • Déploiements : contient Comptes AWS destiné à l'intégration continue et à la livraison/déploiement continus (déploiements CI/CD). Vous pouvez créer cette UO si vous disposez d'un modèle de gouvernance et d'exploitation différent pour les déploiements CI/CD par rapport aux comptes des charges de travail OUs (Prod et). SDLC La distribution de CI/CD permet de réduire la dépendance organisationnelle à l'égard d'un environnement CI/CD partagé géré par une équipe centrale. Pour chaque ensemble de SDLC /Prod Comptes AWS pour une application dans l'unité d'organisation Workloads, créez un compte pour CI/CD dans l'unité d'organisation des déploiements.

  • Transitionnel : il s'agit d'une zone de stockage temporaire pour les comptes et les charges de travail existants avant de les déplacer vers les zones standard de votre organisation. Cela peut être dû au fait que les comptes font partie d'une acquisition, étaient auparavant gérés par un tiers, ou à des comptes hérités d'une ancienne structure organisationnelle.

Le schéma suivant montre les informations supplémentaires OUs relatives au sandbox, aux charges de travail, à l'élaboration des politiques, aux utilisateurs professionnels suspendus, aux exceptions, aux déploiements et aux comptes de transition :

Cette image affiche des informations supplémentaires OUs pour le sandbox, les charges de travail, la mise en place des politiques, les utilisateurs professionnels suspendus, les exceptions, les déploiements et les comptes de transition.

Conclusion

Une stratégie multi-comptes bien conçue peut vous aider à innover dans AWS, tout en vous aidant à répondre à vos besoins en matière de sécurité et d'évolutivité. Le cadre décrit dans cette rubrique représente AWS les meilleures pratiques que vous devriez utiliser comme point de départ pour AWS voyage.

Le schéma suivant montre les éléments fondamentaux OUs et supplémentaires OUs recommandés :

Cette image affiche les éléments de base OUs et supplémentaires OUs recommandés.