SEC01-BP01 Séparer les charges de travail à l'aide de comptes - AWS Framework Well-Architected

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

SEC01-BP01 Séparer les charges de travail à l'aide de comptes

Établissez des barrières de protection et un isolement communs entre les environnements (par exemple, production, développement et test) et les charges de travail grâce à une stratégie multicompte. La séparation au niveau des comptes est vivement recommandée, car elle fournit une solide limite d’isolement pour la sécurité, la facturation et les accès.

Résultat souhaité : une structure de compte qui isole les opérations cloud, les charges de travail indépendantes et les environnements dans des comptes distincts, renforçant ainsi la sécurité de l’infrastructure cloud.

Anti-modèles courants :

  • Placer plusieurs charges de travail non liées avec différents niveaux de sensibilité des données dans le même compte.

  • Structure d’unité d’organisation mal définie.

Avantages liés au respect de cette bonne pratique :

  • Réduction de la portée des répercussions si un utilisateur accède à une charge de travail par inadvertance.

  • Gouvernance centrale de l'accès aux AWS services, aux ressources et aux régions.

  • Maintien de la sécurité de l’infrastructure cloud avec des politiques et une administration centralisée des services de sécurité.

  • Processus automatisé de création et de gestion des comptes.

  • Audit centralisé de votre infrastructure pour les exigences en matière de conformité et de réglementation.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : élevé

Directives d’implémentation

Comptes AWS fournir une limite d'isolation de sécurité entre les charges de travail ou les ressources qui fonctionnent à différents niveaux de sensibilité. AWS fournit des outils pour gérer vos charges de travail dans le cloud à grande échelle grâce à une stratégie multi-comptes afin de tirer parti de cette limite d'isolation. Pour obtenir des conseils sur les concepts, les modèles et la mise en œuvre d'une stratégie multi-comptes AWS, voir Organisation de votre AWS environnement à l'aide de plusieurs comptes.

Lorsque vous en avez plusieurs Comptes AWS sous gestion centralisée, vos comptes doivent être organisés selon une hiérarchie définie par des couches d'unités organisationnelles (OUs). Les contrôles de sécurité peuvent ensuite être organisés et appliqués aux comptes des membres, établissant OUs ainsi des contrôles préventifs cohérents sur les comptes des membres de l'organisation. Les contrôles de sécurité sont hérités, vous pouvez donc filtrer les autorisations disponibles pour les comptes membres situés aux niveaux inférieurs d’une hiérarchie d’unités d’organisation. Une bonne conception tire parti de cet héritage pour réduire le nombre et la complexité des politiques de sécurité nécessaires afin de mettre en place les contrôles de sécurité souhaités pour chaque compte membre.

AWS Organizationset AWS Control Towersont deux services que vous pouvez utiliser pour implémenter et gérer cette structure multi-comptes dans votre AWS environnement. AWS Organizations vous permet d'organiser les comptes selon une hiérarchie définie par une ou plusieurs couches deOUs, chaque unité d'organisation contenant un certain nombre de comptes membres. Les politiques de contrôle des services (SCPs) permettent à l'administrateur de l'organisation d'établir des contrôles préventifs précis sur les comptes des membres et AWS Configpeuvent être utilisées pour établir des contrôles proactifs et détectifs sur les comptes des membres. De nombreux AWS services s'intègrent AWS Organizations pour fournir des contrôles administratifs délégués et effectuer des tâches spécifiques aux services sur tous les comptes membres de l'organisation.

En plus de cela AWS Organizations, AWS Control Towerfournit une configuration des meilleures pratiques en un clic pour un AWS environnement multi-comptes avec une zone de landing zone. La zone de destination est le point d’entrée de l’environnement multicompte établi par Control Tower. Control Tower offre plusieurs avantages par rapport à AWS Organizations. Les trois avantages qui permettent d’améliorer la gouvernance des comptes sont les suivants :

  • Des contrôles de sécurité obligatoires intégrés qui sont automatiquement appliquées aux comptes admis dans l’organisation.

  • Commandes facultatives qui peuvent être activées ou désactivées pour un ensemble donné deOUs.

  • AWS Control Tower Account Factory permet le déploiement automatique de comptes contenant des lignes de base et des options de configuration préapprouvées au sein de votre organisation.

Étapes d’implémentation

  1. Conception d’une structure d’unité organisationnelle : une structure d’unité organisationnelle correctement conçue réduit la charge de gestion requise pour créer et maintenir des politiques de contrôle des services et d’autres contrôles de sécurité. La structure de votre unité organisationnelle doit être alignée sur les besoins de votre entreprise, la sensibilité des données et la structure de la charge de travail.

  2. Créez une zone de destination pour votre environnement multicomptes : une zone de destination fournit une base de sécurité et d’infrastructure cohérente à partir de laquelle votre organisation peut rapidement développer, lancer et déployer des charges de travail. Vous pouvez utiliser une zone de destination personnalisée ou AWS Control Tower pour orchestrer votre environnement.

  3. Établissez des barrières de protection : mettez en place des barrières de protection de sécurité cohérentes pour votre environnement dans toute votre zone de destination. AWS Control Tower fournit une liste de contrôles obligatoires et facultatifs qui peuvent être déployés. Les contrôles obligatoires sont déployés automatiquement lors de l’implémentation de Control Tower. Passez en revue la liste des contrôles hautement recommandés et facultatifs, puis implémentez les contrôles adaptés à vos besoins.

  4. Restreindre l'accès aux régions récemment ajoutées : pour les nouvelles régions Régions AWS, les IAM ressources telles que les utilisateurs et les rôles ne sont propagées qu'aux régions que vous spécifiez. Cette action peut être effectuée via la console lorsque vous utilisez Control Tower, ou en ajustant les politiques IAM d'autorisation dans AWS Organizations.

  5. Pensez StackSets à AWS  CloudFormation StackSets: vous aider à déployer des ressources, notamment des IAM politiques, des rôles et des groupes, dans différentes Comptes AWS régions à partir d'un modèle approuvé.

Ressources

Bonnes pratiques associées :

Documents connexes :

Vidéos connexes :

Ateliers connexes :