Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Struktur akun khusus
| Mempengaruhi masa depan Arsitektur Referensi AWS Keamanan (AWS SRA) dengan mengambil survei singkat |
AWSAkun menyediakan batasan keamanan, akses, dan penagihan untuk AWS sumber daya Anda, dan memungkinkan Anda mencapai kemandirian dan isolasi sumber daya. Secara default, tidak ada akses yang diizinkan antar akun.
Saat merancang struktur OU dan akun Anda, mulailah dengan mempertimbangkan keamanan dan infrastruktur. Sebaiknya buat satu set dasar OUs untuk fungsi-fungsi spesifik ini, dibagi menjadi Infrastruktur dan KeamananOUs. Rekomendasi OU dan akun ini menangkap sebagian dari pedoman kami yang lebih luas dan lebih komprehensif untuk AWS Organizations dan desain struktur multi-akun. Untuk serangkaian rekomendasi lengkap, lihat Mengatur AWS Lingkungan Anda Menggunakan Beberapa Akun dalam AWS dokumentasi dan posting blog Praktik Terbaik untuk Unit AWS Organisasi dengan Organizations
AWSSRAIni menggunakan akun berikut untuk mencapai operasi keamanan yang efektif. AWS Akun khusus ini membantu memastikan pemisahan tugas, mendukung kebijakan tata kelola dan akses yang berbeda untuk berbagai aplikasi dan data sensitif, dan membantu mengurangi dampak peristiwa keamanan. Dalam diskusi berikutnya, kami berfokus pada akun produksi (prod) dan beban kerja terkait. Akun siklus hidup pengembangan perangkat lunak (SDLC) (sering disebut akun dev dan pengujian) dimaksudkan untuk pementasan kiriman dan dapat beroperasi di bawah kebijakan keamanan yang berbeda yang ditetapkan dari akun produksi.
Akun |
OU |
Peran keamanan |
Manajemen
|
— |
Tata kelola pusat dan pengelolaan semua AWS Wilayah dan akun. AWSAkun yang menjadi tuan rumah akar AWS organisasi. |
Perkakas Keamanan |
Keamanan |
AWSAkun khusus untuk mengoperasikan layanan keamanan yang berlaku secara luas (seperti Amazon GuardDuty, AWS Security Hub, AWS Audit Manager, Amazon Detective, Amazon Inspector, AWS dan Config), memantau akun, serta mengotomatiskan AWS peringatan dan respons keamanan. (Di AWS Control Tower, nama default untuk akun di bawah Security OU adalah akun Audit.) |
Arsip Log |
Keamanan |
AWSAkun khusus untuk menelan dan mengarsipkan semua pencatatan dan pencadangan untuk semua AWS Wilayah dan akun. AWS Ini harus dirancang sebagai penyimpanan yang tidak dapat diubah. |
Jaringan |
Infrastruktur |
Gateway antara aplikasi Anda dan internet yang lebih luas. Akun Jaringan mengisolasi layanan jaringan, konfigurasi, dan operasi yang lebih luas dari beban kerja aplikasi individual, keamanan, dan infrastruktur lainnya. |
Layanan Bersama |
Infrastruktur |
Akun ini mendukung layanan yang digunakan beberapa aplikasi dan tim untuk memberikan hasil mereka. Contohnya termasuk layanan direktori Pusat Identitas (Direktori Aktif), layanan pesan, dan layanan metadata. |
Aplikasi |
Beban kerja |
AWSakun yang menampung aplikasi AWS organisasi dan melakukan beban kerja. (Ini kadang-kadang disebut akun Beban Kerja.) Akun aplikasi harus dibuat untuk mengisolasi layanan perangkat lunak alih-alih dipetakan ke tim Anda. Ini membuat aplikasi yang digunakan lebih tahan terhadap perubahan organisasi. |
