Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS
SEC01-BP01 Memisahkan beban kerja menggunakan akun - AWS Kerangka Well-Architected
Panduan implementasiSumber daya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

SEC01-BP01 Memisahkan beban kerja menggunakan akun

PDFRSS

Terapkan pagar pembatas umum dan isolasi di antara lingkungan (seperti produksi, pengembangan, dan pengujian) dan beban kerja melalui strategi multi-akun. Pemisahan di tingkat akun sangat disarankan karena hal ini dapat memberikan batasan isolasi yang kuat untuk keamanan, tagihan, dan akses.

Hasil yang diinginkan: Struktur akun yang mengisolasi operasi cloud, beban kerja yang tidak terkait, dan lingkungan ke dalam akun terpisah, meningkatkan keamanan di seluruh infrastruktur cloud.

Anti-pola umum:

  • Menempatkan beberapa beban kerja yang tidak saling berkaitan dengan berbagai tingkat sensitivitas data ke dalam akun yang sama.

  • Struktur unit organisasi (OU) yang tidak ditentukan dengan baik.

Manfaat menjalankan praktik terbaik ini:

  • Mengurangi cakupan dampak jika beban kerja tidak sengaja diakses.

  • Tata kelola pusat akses ke AWS layanan, sumber daya, dan Wilayah.

  • Keamanan infrastruktur cloud terjaga dengan kebijakan dan administrasi tersentralisasi pada layanan keamanan.

  • Pembuatan akun dan proses pemeliharaan otomatis.

  • Audit infrastruktur terpusat untuk persyaratan kepatuhan dan peraturan.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Tinggi

Panduan implementasi

Akun AWS menyediakan batas isolasi keamanan antara beban kerja atau sumber daya yang beroperasi pada tingkat sensitivitas yang berbeda. AWS menyediakan alat untuk mengelola beban kerja cloud Anda dalam skala besar melalui strategi multi-akun untuk memanfaatkan batas isolasi ini. Untuk panduan tentang konsep, pola, dan implementasi strategi multi-akun AWS, lihat Mengatur AWS Lingkungan Anda Menggunakan Beberapa Akun.

Bila Anda memiliki beberapa Akun AWS di bawah manajemen pusat, akun Anda harus diatur ke dalam hierarki yang ditentukan oleh lapisan unit organisasi (OUs). Kontrol keamanan kemudian dapat diatur dan diterapkan ke akun OUs dan anggota, menetapkan kontrol pencegahan yang konsisten pada akun anggota dalam organisasi. Kontrol keamanan diwariskan, memungkinkan Anda memfilter izin yang tersedia untuk akun anggota yang berada di tingkat yang lebih rendah dalam hierarki OU. Untuk membuat desain yang baik, memanfaatkan pewarisan ini untuk mengurangi jumlah dan kerumitan kebijakan keamanan yang diperlukan untuk mencapai kontrol keamanan yang diinginkan untuk setiap akun anggota.

AWS Organizationsdan AWS Control Towermerupakan dua layanan yang dapat Anda gunakan untuk menerapkan dan mengelola struktur multi-akun ini di AWS lingkungan Anda. AWS Organizations memungkinkan Anda untuk mengatur akun ke dalam hierarki yang ditentukan oleh satu atau lebih lapisanOUs, dengan setiap OU berisi sejumlah akun anggota. Kebijakan kontrol layanan (SCPs) memungkinkan administrator organisasi untuk membuat kontrol pencegahan terperinci pada akun anggota, dan AWS Configdapat digunakan untuk membuat kontrol proaktif dan detektif pada akun anggota. Banyak AWS layanan terintegrasi dengan AWS Organizations untuk menyediakan kontrol administratif yang didelegasikan dan melakukan tugas khusus layanan di semua akun anggota dalam organisasi.

Berlapis di atas AWS Organizations, AWS Control Towermenyediakan pengaturan praktik terbaik satu-klik untuk AWS lingkungan multi-akun dengan landing zone. Zona landasan adalah titik masuk ke lingkungan multi-akun yang dibuat oleh Control Tower. Control Tower memberikan beberapa manfaat dibanding AWS Organizations. Tiga manfaat yang memberikan tata kelola akun yang lebih baik adalah:

  • Kontrol keamanan wajib terintegrasi yang diterapkan secara otomatis ke akun yang diterima di organisasi.

  • Kontrol opsional yang dapat dihidupkan atau dimatikan untuk satu set tertentuOUs.

  • AWS Control Tower Account Factory menyediakan penerapan otomatis akun yang berisi baseline yang telah disetujui sebelumnya dan opsi konfigurasi di dalam organisasi Anda.

Langkah-langkah implementasi

  1. Merancang struktur unit organisasi: Struktur unit organisasi yang dirancang dengan baik mengurangi beban manajemen yang diperlukan untuk membuat dan memelihara kebijakan kontrol layanan dan kontrol keamanan lainnya. Struktur unit organisasi Anda harus selaras dengan kebutuhan bisnis Anda, sensitivitas data, dan struktur beban kerja.

  2. Buat zona landasan untuk lingkungan multi-akun Anda: zona landasan menyediakan fondasi keamanan dan infrastruktur yang konsisten dari mana organisasi Anda dapat dengan cepat mengembangkan, meluncurkan, dan menerapkan beban kerja. Anda dapat menggunakan zona landasan atau AWS Control Tower yang dibuat khusus untuk mengatur lingkungan Anda.

  3. Tetapkan pagar pembatas: Terapkan pagar pembatas keamanan yang konsisten untuk lingkungan Anda melalui zona landasan Anda. AWS Control Tower menyediakan daftar kontrol wajib dan opsional yang dapat digunakan. Deployment kontrol wajib dilakukan secara otomatis saat mengimplementasikan Control Tower. Lihat daftar kontrol yang sangat direkomendasikan dan opsional, kemudian implementasikan kontrol yang sesuai dengan kebutuhan Anda.

  4. Batasi akses ke Wilayah yang baru ditambahkan: Untuk yang baru Wilayah AWS, IAM sumber daya seperti pengguna dan peran hanya disebarkan ke Wilayah yang Anda tentukan. Tindakan ini dapat dilakukan melalui konsol saat menggunakan Control Tower, atau dengan menyesuaikan kebijakan IAM izin AWS Organizations.

  5. Pertimbangkan AWS CloudFormation StackSets: StackSets membantu Anda menyebarkan sumber daya termasuk IAM kebijakan, peran, dan grup ke berbagai Akun AWS dan Wilayah dari templat yang disetujui.

Sumber daya

Praktik-praktik terbaik terkait:

Dokumen terkait:

Video terkait:

Lokakarya terkait:

Perlu bantuan?

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.