Sejajarkan dengan panduan AWS multi-akun Pedoman untuk mengatur lingkungan yang dirancang dengan baik Contoh AWS Control Tower dengan struktur OU multi-akun yang lengkap Tentang Root

AWS strategi multi-akun untuk landing zone AWS Control Tower

Pelanggan AWS Control Tower sering mencari panduan tentang cara mengatur AWS lingkungan mereka dan memperhitungkan hasil terbaik.AWS telah membuat serangkaian rekomendasi terpadu, yang disebut strategi multi-akun, untuk membantu Anda memanfaatkan AWS sumber daya sebaik-baiknya, termasuk zona landing zone AWS Control Tower Anda.

Pada dasarnya, AWS Control Tower bertindak sebagai lapisan orkestrasi yang berfungsi dengan AWS layanan lain, yang membantu Anda menerapkan rekomendasi AWS multi-akun untuk akun dan. AWS AWS OrganizationsSetelah landing zone Anda disiapkan, AWS Control Tower terus membantu Anda mempertahankan kebijakan perusahaan dan praktik keamanan di beberapa akun dan beban kerja.

Sebagian besar zona pendaratan berkembang seiring waktu. Karena jumlah unit organisasi (OU) dan akun di zona landing zone AWS Control Tower Anda meningkat, Anda dapat memperluas penerapan AWS Control Tower dengan cara yang membantu mengatur beban kerja Anda secara efektif. Bab ini memberikan panduan preskriptif tentang cara merencanakan dan menyiapkan landing zone AWS Control Tower Anda, selaras dengan strategi AWS multi-akun, dan memperpanjangnya dari waktu ke waktu.

Untuk diskusi umum tentang praktik terbaik untuk unit organisasi, lihat Praktik Terbaik untuk Unit Organisasi dengan AWS Organizations.

AWS strategi multi-akun: Panduan praktik terbaik

AWS Praktik terbaik untuk lingkungan yang dirancang dengan baik merekomendasikan agar Anda memisahkan sumber daya dan beban kerja Anda menjadi beberapa akun. AWS Anda dapat menganggap AWS akun sebagai wadah sumber daya yang terisolasi: mereka menawarkan kategorisasi beban kerja, serta pengurangan radius ledakan ketika terjadi kesalahan.

Definisi AWS akun: AWS Akun bertindak sebagai wadah sumber daya dan batas isolasi sumber daya.

catatan

AWS Akun tidak sama dengan akun pengguna, yang diatur melalui Federasi atau AWS Identity and Access Management (IAM).

Lebih lanjut tentang AWS akun

AWS Akun menyediakan kemampuan untuk mengisolasi sumber daya dan menahan ancaman keamanan untuk beban AWS kerja Anda. Akun juga menyediakan mekanisme untuk penagihan dan tata kelola lingkungan beban kerja.

AWS Akun adalah mekanisme implementasi utama untuk menyediakan wadah sumber daya untuk beban kerja Anda. Jika lingkungan Anda dirancang dengan baik, Anda dapat mengelola beberapa AWS akun secara efektif, dan dengan demikian, mengelola beberapa beban kerja dan lingkungan.

AWS Control Tower menyiapkan lingkungan yang dirancang dengan baik. Ini bergantung pada AWS akun, bersama dengan AWS Organizations, yang membantu mengatur perubahan pada lingkungan Anda yang dapat meluas di beberapa akun.

Definisi lingkungan yang dirancang dengan baik: AWS mendefinisikan lingkungan yang dirancang dengan baik sebagai lingkungan yang dimulai dengan landing zone.

AWS Control Tower menawarkan landing zone yang diatur secara otomatis. Ini memberlakukan kontrol untuk memastikan kepatuhan terhadap pedoman perusahaan Anda, di beberapa akun di lingkungan Anda.

Definisi dari landing zone: Landing zone adalah lingkungan cloud yang menawarkan titik awal yang direkomendasikan, termasuk akun default, struktur akun, tata letak jaringan dan keamanan, dan sebagainya. Dari landing zone, Anda dapat menerapkan beban kerja yang memanfaatkan solusi dan aplikasi Anda.

Pedoman untuk mengatur lingkungan yang dirancang dengan baik

Tiga komponen kunci dari lingkungan yang dirancang dengan baik, dijelaskan dalam bagian berikut, adalah:

Beberapa AWS akun
Beberapa unit organisasi (OU)
Struktur yang terencana dengan baik

Gunakan beberapa akun AWS

Satu akun tidak cukup untuk mengatur lingkungan yang dirancang dengan baik. Dengan menggunakan beberapa akun, Anda dapat mendukung tujuan keamanan dan proses bisnis Anda dengan sebaik-baiknya. Berikut adalah beberapa manfaat menggunakan pendekatan multi-akun:

Kontrol keamanan — Aplikasi memiliki profil keamanan yang berbeda, sehingga memerlukan kebijakan dan mekanisme kontrol yang berbeda. Misalnya, jauh lebih mudah untuk berbicara dengan auditor dan menunjuk ke satu akun yang menampung beban kerja industri kartu pembayaran (PCI).
Isolasi — Akun adalah unit perlindungan keamanan. Potensi risiko dan ancaman keamanan dapat terkandung dalam akun tanpa mempengaruhi orang lain. Oleh karena itu, kebutuhan keamanan mungkin mengharuskan Anda untuk mengisolasi akun satu sama lain. Misalnya, Anda mungkin memiliki tim dengan profil keamanan yang berbeda.
Banyak tim — Tim memiliki tanggung jawab dan kebutuhan sumber daya yang berbeda. Dengan menyiapkan beberapa akun, tim tidak dapat mengganggu satu sama lain, karena mereka mungkin saat menggunakan akun yang sama.
Isolasi Data — Mengisolasi penyimpanan data ke akun membantu membatasi jumlah orang yang memiliki akses ke data dan dapat mengelola penyimpanan data. Isolasi ini membantu mencegah paparan data yang sangat pribadi secara tidak sah. Misalnya, isolasi data membantu mendukung kepatuhan terhadap Peraturan Perlindungan Data Umum (GDPR).
Proses bisnis — Unit bisnis atau produk sering memiliki tujuan dan proses yang sama sekali berbeda. Akun individu dapat dibuat untuk melayani kebutuhan khusus bisnis.
Penagihan — Akun adalah satu-satunya cara untuk memisahkan item pada tingkat penagihan, termasuk hal-hal seperti biaya transfer dan sebagainya. Strategi multi-akun membantu membuat item yang dapat ditagih terpisah di seluruh unit bisnis, tim fungsional, atau pengguna individu.
Alokasi kuota — AWS kuota diatur berdasarkan per akun. Memisahkan beban kerja ke dalam akun yang berbeda memberi setiap akun (seperti proyek) kuota individual yang terdefinisi dengan baik.

Gunakan beberapa unit organisasi

AWS Control Tower dan kerangka kerja orkestrasi akun lainnya dapat membuat perubahan yang melintasi batas akun. Oleh karena itu, praktik AWS terbaik mengatasi perubahan lintas akun, yang berpotensi dapat merusak lingkungan atau merusak keamanannya. Dalam beberapa kasus, perubahan dapat mempengaruhi lingkungan secara keseluruhan, di luar kebijakan. Oleh karena itu, kami menyarankan Anda untuk menyiapkan setidaknya dua akun wajib, Produksi dan Pementasan.

Selain itu, AWS akun sering dikelompokkan ke dalam unit organisasi (OU), untuk tujuan tata kelola dan kontrol. OU dirancang untuk menangani penegakan kebijakan di beberapa akun.

Rekomendasi kami adalah, setidaknya, Anda membuat lingkungan pra-produksi (atau Pementasan) yang berbeda dari lingkungan Produksi Anda—dengan kontrol dan kebijakan yang berbeda. Lingkungan Produksi dan Pementasan dapat dibuat dan diatur sebagai OU terpisah, dan ditagih sebagai akun terpisah. Selain itu, Anda mungkin ingin menyiapkan Sandbox OU untuk pengujian kode.

Gunakan struktur yang terencana dengan baik untuk OU di landing zone Anda

AWS Control Tower menyiapkan beberapa OU untuk Anda secara otomatis. Saat beban kerja dan persyaratan Anda bertambah seiring waktu, Anda dapat memperluas konfigurasi landing zone asli agar sesuai dengan kebutuhan Anda.

catatan

Nama-nama yang diberikan dalam contoh mengikuti konvensi AWS penamaan yang disarankan untuk menyiapkan lingkungan multi-akun AWS . Anda dapat mengganti nama OU setelah menyiapkan landing zone, dengan memilih Edit pada halaman detail OU.

Rekomendasi

Setelah AWS Control Tower menyiapkan OU pertama yang diperlukan untuk Anda — Security OU — kami sarankan untuk membuat beberapa OU tambahan di landing zone Anda.

Kami menyarankan Anda mengizinkan AWS Control Tower untuk membuat setidaknya satu OU tambahan, yang disebut Sandbox OU. OU ini untuk lingkungan pengembangan perangkat lunak Anda. AWS Control Tower dapat mengatur Sandbox OU untuk Anda selama pembuatan landing zone, jika Anda memilihnya.

Dua rekomendasi OU lain yang dapat Anda atur sendiri: Infrastruktur OU, untuk memuat layanan bersama dan akun jaringan Anda, dan OU untuk memuat beban kerja produksi Anda, yang disebut Workloads OU. Anda dapat menambahkan OU tambahan di landing zone melalui konsol AWS Control Tower di halaman Unit Organisasi.

OU yang direkomendasikan selain yang diatur secara otomatis

Infrastruktur OU - Berisi layanan bersama dan akun jaringan Anda.

catatan
AWS Control Tower tidak menyiapkan Infrastruktur OU untuk Anda.
Sandbox OU — Sebuah pengembangan perangkat lunak OU. Misalnya, mungkin memiliki batas pengeluaran tetap, atau mungkin tidak terhubung ke jaringan produksi.

catatan
AWS Control Tower merekomendasikan agar Anda menyiapkan Sandbox OU, tetapi ini opsional. Ini dapat diatur secara otomatis sebagai bagian dari konfigurasi landing zone Anda.
Workloads OU - Berisi akun yang menjalankan beban kerja Anda.

catatan
AWS Control Tower tidak menyiapkan Workloads OU untuk Anda.

Untuk informasi selengkapnya, lihat Organisasi pemula produksi dengan AWS Control Tower.

Contoh AWS Control Tower dengan struktur OU multi-akun yang lengkap

AWS Control Tower mendukung hierarki OU bersarang, yang berarti Anda dapat membuat struktur OU hierarkis yang memenuhi persyaratan organisasi Anda. Anda dapat membangun lingkungan AWS Control Tower agar sesuai dengan panduan strategi AWS multi-akun.

Anda juga dapat membangun struktur OU yang lebih sederhana dan datar yang berkinerja baik dan selaras dengan panduan AWS multi-akun. Hanya karena Anda dapat membangun struktur OU hierarkis, itu tidak berarti Anda harus melakukannya.

Untuk melihat diagram yang menunjukkan contoh kumpulan OU di lingkungan AWS Control Tower datar yang diperluas dengan panduan AWS multi-akun, lihat Contoh: Beban Kerja dalam Struktur OU Datar.
Untuk informasi selengkapnya tentang cara kerja AWS Control Tower dengan struktur OU bersarang, lihatOU bersarang di AWS Control Tower.
Untuk informasi selengkapnya tentang cara AWS Control Tower selaras dengan AWS panduan, lihat AWS white paper, Mengatur AWS Lingkungan Anda Menggunakan Beberapa Akun.

Diagram pada halaman tertaut menunjukkan bahwa lebih banyak OU Dasar dan lebih banyak OU Tambahan telah dibuat. OU ini melayani kebutuhan tambahan dari penyebaran yang lebih besar.

Di kolom Foundational OU, dua OU telah ditambahkan ke struktur dasar:

Security_Prod OU - Menyediakan area read-only untuk kebijakan keamanan, serta area audit keamanan break-glass.
Infrastruktur OU - Anda mungkin ingin memisahkan Infrastruktur OU, yang direkomendasikan sebelumnya, menjadi dua OU, Infrastructure_Test (untuk infrastruktur pra-produksi) dan Infrastructure_Prod (untuk infrastruktur produksi).

Di area OU Tambahan, beberapa OU lagi telah ditambahkan ke struktur dasar. Berikut ini adalah OU yang direkomendasikan berikutnya untuk dibuat saat lingkungan Anda tumbuh:

Beban Kerja OU - Beban Kerja OU, direkomendasikan sebelumnya tetapi opsional, telah dipisahkan menjadi dua OU, Workloads_Test (untuk beban kerja pra-produksi) dan Workloads_Prod (untuk beban kerja produksi).
PolicyStaging OU — Memungkinkan administrator sistem untuk menguji perubahan mereka pada kontrol dan kebijakan sebelum menerapkannya sepenuhnya.
Suspended OU - Menawarkan lokasi untuk akun yang mungkin telah dinonaktifkan sementara.

Tentang Root

Root bukan OU. Ini adalah wadah untuk akun manajemen, dan untuk semua OU dan akun di organisasi Anda. Secara konseptual, Root berisi semua OU. Itu tidak bisa dihapus. Anda tidak dapat mengatur akun terdaftar di tingkat Root dalam AWS Control Tower. Sebagai gantinya, atur akun terdaftar dalam OU Anda. Untuk diagram yang bermanfaat, lihat AWS Organizations dokumentasi.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Rencanakan landing zone Anda

Kiat administratif untuk pengaturan landing zone