Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Structure de comptes dédiée
| Influencez le futur de l'architecture de référence de AWS sécurité (AWS SRA) en répondant à une courte enquête |
Un AWS compte assure la sécurité, l'accès et les limites de facturation de vos AWS ressources, et vous permet de garantir l'indépendance et l'isolation des ressources. Par défaut, aucun accès n'est autorisé entre les comptes.
Lorsque vous concevez votre unité d'organisation et votre structure de compte, commencez par penser à la sécurité et à l'infrastructure. Nous vous recommandons de créer un ensemble de bases OUs pour ces fonctions spécifiques, réparties entre infrastructure et sécuritéOUs. Ces recommandations relatives aux unités d'organisation et aux comptes reflètent un sous-ensemble de nos directives plus générales et plus complètes pour les AWS Organisations et la conception de structures multicomptes. Pour un ensemble complet de recommandations, consultez Organizing Your AWS Environment Using Multiple Accounts dans la AWS documentation et dans le billet de blog Best Practices for Organizational Units with AWS Organizations
AWSSRAUtilise les comptes suivants pour réaliser des opérations de sécurité efficaces surAWS. Ces comptes dédiés permettent de garantir la séparation des tâches, de prendre en charge différentes politiques de gouvernance et d'accès pour différents types d'applications et de données sensibles, et d'atténuer l'impact d'un événement de sécurité. Dans les discussions qui suivent, nous nous concentrons sur les comptes de production (production) et leurs charges de travail associées. Les comptes du cycle de vie du développement logiciel (SDLC) (souvent appelés comptes de développement et de test) sont destinés à la préparation des livrables et peuvent fonctionner selon une politique de sécurité différente de celle des comptes de production.
Compte |
UO |
Rôle de sécurité |
Gestion
|
— |
Gouvernance et gestion centralisées de toutes les AWS régions et de tous les comptes. Le AWS compte qui héberge la racine de l'AWSorganisation. |
Outillage de sécurité |
Sécurité |
Des AWS comptes dédiés pour gérer des services de sécurité largement applicables (tels qu'Amazon GuardDuty, AWS Security Hub, AWS Audit Manager, Amazon Detective, Amazon Inspector et AWS Config), surveiller les AWS comptes et automatiser les alertes de sécurité et les réponses. (Dans AWS Control Tower, le nom par défaut du compte dans l'unité d'organisation de sécurité est Audit account.) |
Archive du journal |
Sécurité |
AWSComptes dédiés pour l'ingestion et l'archivage de tous les journaux et sauvegardes pour toutes les AWS régions et AWS tous les comptes. Cela doit être conçu comme un stockage immuable. |
Réseau |
Infrastructure |
La passerelle entre votre application et l'Internet au sens large. Le compte réseau isole l'ensemble des services réseau, de la configuration et du fonctionnement des charges de travail, de la sécurité et des autres infrastructures des applications individuelles. |
Services partagés |
Infrastructure |
Ce compte prend en charge les services utilisés par de nombreuses applications et équipes pour obtenir leurs résultats. Les exemples incluent les services d'annuaire Identity Center (Active Directory), les services de messagerie et les services de métadonnées. |
Application |
Charges de travail |
AWScomptes qui hébergent les applications de AWS l'organisation et exécutent les charges de travail. (Ces comptes sont parfois appelés comptes de charge de travail.) Les comptes d'applications doivent être créés pour isoler les services logiciels au lieu d'être mappés à vos équipes. Cela rend l'application déployée plus résiliente aux changements organisationnels. |
