Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Éléments de base de la SRA : AWS Organizations, comptes et garde-fous
| Influencez le futur de l'architecture de référence de AWS sécurité (AWSSRA) en répondant à une courte enquête |
Il est préférable d'utiliser les services de sécurité AWS, leurs contrôles et leurs interactions sur la base de la stratégie multi-comptes AWS et des garde-fous en matière de gestion des identités et des accès. Ces garde-fous vous permettent de mettre en œuvre le principe du moindre privilège, de la séparation des tâches et de la confidentialité, et vous aident à prendre des décisions concernant les types de contrôles nécessaires, l'endroit où chaque service de sécurité est géré et la manière dont ils peuvent partager les données et les autorisations dans l'AWS SRA.
Un compte AWS fournit des limites de sécurité, d'accès et de facturation pour vos ressources AWS et vous permet de garantir l'indépendance et l'isolation des ressources. L'utilisation de plusieurs comptes AWS joue un rôle important dans la manière dont vous répondez à vos exigences de sécurité, comme indiqué dans la section Avantages de l'utilisation de plusieurs comptes AWS du livre blanc Organiser votre environnement AWS à l'aide de plusieurs comptes. Par exemple, vous pouvez organiser vos charges de travail dans des comptes distincts et des comptes de groupe au sein d'une unité organisationnelle (UO) en fonction de la fonction, des exigences de conformité ou d'un ensemble de contrôles communs au lieu de refléter la structure hiérarchique de votre entreprise. Gardez à l'esprit la sécurité et l'infrastructure pour permettre à votre entreprise de définir des garde-fous communs à mesure que vos charges de travail augmentent. Cette approche fournit des limites et des contrôles robustes entre les charges de travail. La séparation au niveau des comptes, associée à AWS Organizations, est utilisée pour isoler les environnements de production des environnements de développement et de test, ou pour établir une limite logique solide entre les charges de travail qui traitent des données de différentes classifications, telles que Payment Card Industry Data Security Standard (PCI DSS) ou Health Insurance Portability and Accountability Act (HIPAA). Bien que vous puissiez commencer votre parcours avec AWS avec un seul compte, AWS vous recommande de configurer plusieurs comptes à mesure que la taille et la complexité de vos charges de travail augmentent.
Les autorisations vous permettent de spécifier l'accès aux ressources AWS. Les autorisations sont accordées aux entités IAM appelées entités principales (utilisateurs, groupes et rôles). Par défaut, les principaux démarrent sans aucune autorisation. Les entités IAM ne peuvent rien faire dans AWS tant que vous ne leur accordez pas d'autorisations, et vous pouvez mettre en place des garde-fous applicables à l'ensemble de votre organisation AWS ou aussi précis qu'une combinaison individuelle de principe, d'action, de ressource et de conditions.
