Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS strategia multi-account per la tua landing zone di AWS Control Tower
I clienti di AWS Control Tower spesso richiedono indicazioni su come configurare il proprio AWS ambiente e i propri account per ottenere i migliori risultati.AWS ha creato una serie unificata di raccomandazioni, denominata strategia multi-account, per aiutarti a utilizzare al meglio le tue AWS risorse, inclusa la landing zone di AWS Control Tower.
In sostanza, AWS Control Tower funge da livello di orchestrazione che funziona con altri AWS servizi, che ti aiutano a implementare i consigli su AWS più account per AWS account e. AWS OrganizationsDopo aver configurato la landing zone, AWS Control Tower continua ad assisterti nel mantenimento delle policy aziendali e delle pratiche di sicurezza su più account e carichi di lavoro.
La maggior parte delle zone di atterraggio si sviluppa nel tempo. Con l'aumentare del numero di unità organizzative (OU) e account nella landing zone di AWS Control Tower, puoi estendere la distribuzione di AWS Control Tower in modo da organizzare i carichi di lavoro in modo efficace. Questo capitolo fornisce linee guida prescrittive su come pianificare e configurare la landing zone di AWS Control Tower, in linea con la strategia AWS multi-account, ed estenderla nel tempo.
Per una discussione generale sulle migliori pratiche per le unità organizzative, consulta Best
AWS strategia multi-account: linee guida sulle migliori pratiche
AWS le migliori pratiche per un ambiente ben progettato consigliano di separare le risorse e i carichi di lavoro in più account. AWS Puoi pensare AWS agli account come a contenitori di risorse isolati: offrono la categorizzazione dei carichi di lavoro, oltre a una riduzione del raggio d'azione quando le cose vanno male.
- Definizione di account AWS
-
Un AWS account funge da contenitore di risorse e limite di isolamento delle risorse.
Nota
Un AWS account non è uguale a un account utente, che viene configurato tramite Federation o AWS Identity and Access Management (IAM).
Ulteriori informazioni sugli AWS account
Un AWS account offre la possibilità di isolare le risorse e contenere le minacce alla sicurezza per i AWS carichi di lavoro. Un account fornisce anche un meccanismo per la fatturazione e la governance di un ambiente di carico di lavoro.
L' AWS account è il meccanismo di implementazione principale per fornire un contenitore di risorse per i carichi di lavoro. Se l'ambiente è ben progettato, è possibile gestire più AWS account in modo efficace e, quindi, gestire più carichi di lavoro e ambienti.
AWS Control Tower configura un ambiente ben architettato. Si basa anche sugli AWS account che aiutano a gestire le AWS Organizationsmodifiche all'ambiente che possono estendersi su più account.
- Definizione di un ambiente ben progettato
-
AWS definisce un ambiente ben architettato come un ambiente che inizia con una landing zone.
AWS Control Tower offre una landing zone configurata automaticamente. Applica i controlli per garantire la conformità alle linee guida aziendali, su più account del tuo ambiente.
- Definizione di landing zone
-
La landing zone è un ambiente cloud che offre un punto di partenza consigliato, inclusi account predefiniti, struttura degli account, layout di rete e sicurezza e così via. Da una landing zone, puoi distribuire carichi di lavoro che utilizzano le tue soluzioni e applicazioni.
Linee guida per configurare un ambiente ben progettato
I tre componenti chiave di un ambiente ben progettato, spiegati nelle seguenti sezioni, sono:
-
Account multipli AWS
-
Unità organizzative multiple (OU)
-
Una struttura ben pianificata
Usa più account AWS
Un account non è sufficiente per configurare un ambiente ben progettato. Utilizzando più account, puoi supportare al meglio i tuoi obiettivi di sicurezza e i tuoi processi aziendali. Ecco alcuni vantaggi dell'utilizzo di un approccio multi-account:
-
Controlli di sicurezza: le applicazioni hanno profili di sicurezza diversi, quindi richiedono politiche e meccanismi di controllo diversi. Ad esempio, è molto più semplice parlare con un revisore e indicare un unico account che ospita il carico di lavoro PCI (Payment Card Industry).
-
Isolamento: un account è un'unità di protezione della sicurezza. I potenziali rischi e le minacce alla sicurezza possono essere contenuti all'interno di un account senza influire sugli altri. Pertanto, per esigenze di sicurezza potrebbe essere necessario isolare gli account l'uno dall'altro. Ad esempio, potresti avere team con profili di sicurezza diversi.
-
Molti team: i team hanno responsabilità e esigenze di risorse diverse. Configurando più account, i team non possono interferire l'uno con l'altro, come potrebbero fare quando utilizzano lo stesso account.
-
Isolamento dei dati: l'isolamento degli archivi dati in un account aiuta a limitare il numero di persone che hanno accesso ai dati e possono gestire l'archivio dati. Questo isolamento aiuta a prevenire l'esposizione non autorizzata di dati altamente privati. Ad esempio, l'isolamento dei dati aiuta a supportare la conformità al Regolamento generale sulla protezione dei dati (GDPR).
-
Processo aziendale: le unità aziendali o i prodotti hanno spesso scopi e processi completamente diversi. È possibile creare account individuali per soddisfare esigenze specifiche dell'azienda.
-
Fatturazione: un account è l'unico modo per separare gli elementi a livello di fatturazione, ad esempio le spese di trasferimento e così via. La strategia multi-account consente di creare elementi fatturabili separati tra unità aziendali, team funzionali o singoli utenti.
-
Allocazione delle AWS quote: le quote vengono impostate per account. La separazione dei carichi di lavoro in diversi account conferisce a ciascun account (ad esempio un progetto) una quota individuale ben definita.
Utilizza più unità organizzative
AWS Control Tower e altri framework di orchestrazione degli account possono apportare modifiche che superano i confini degli account. Pertanto, le AWS migliori pratiche riguardano le modifiche tra account, che potenzialmente possono danneggiare un ambiente o comprometterne la sicurezza. In alcuni casi, le modifiche possono influire sull'ambiente generale, al di là delle politiche. Di conseguenza, ti consigliamo di configurare almeno due account obbligatori, Production e Staging.
Inoltre, AWS gli account sono spesso raggruppati in unità organizzative (OU), a fini di governance e controllo. Le unità organizzative sono progettate per gestire l'applicazione delle politiche su più account.
La nostra raccomandazione è di creare almeno un ambiente di preproduzione (o staging) distinto dall'ambiente di produzione, con controlli e politiche distinti. Gli ambienti di produzione e messa in scena possono essere creati e gestiti come unità organizzative separate e fatturati come account separati. Inoltre, potresti voler configurare un'unità organizzativa Sandbox per il test del codice.
Usa una struttura ben pianificata per le unità organizzative nella tua landing zone
AWS Control Tower configura automaticamente alcune unità organizzative. Man mano che i carichi di lavoro e i requisiti aumentano nel tempo, puoi estendere la configurazione originale della landing zone in base alle tue esigenze.
Nota
I nomi forniti negli esempi seguono le convenzioni di AWS denominazione suggerite per la configurazione di un ambiente con più account. AWS Puoi rinominare le unità organizzative dopo aver configurato la landing zone, selezionando Modifica nella pagina dei dettagli dell'unità organizzativa.
Raccomandazioni
Dopo che AWS Control Tower ha configurato la prima unità organizzativa necessaria per te, l'unità organizzativa di sicurezza, ti consigliamo di creare alcune unità organizzative aggiuntive nella tua landing zone.
Ti consigliamo di consentire ad AWS Control Tower di creare almeno un'unità organizzativa aggiuntiva, chiamata Sandbox OU. Questa unità organizzativa è per i tuoi ambienti di sviluppo software. AWS Control Tower può configurare l'unità organizzativa Sandbox al posto tuo durante la creazione di landing zone, se la selezioni.
Altre due unità organizzative consigliate che puoi configurare autonomamente: l'unità organizzativa dell'infrastruttura, per contenere i servizi condivisi e gli account di rete, e un'unità organizzativa per contenere i carichi di lavoro di produzione, chiamata Workloads OU. Puoi aggiungere unità organizzative aggiuntive nella tua landing zone tramite la console AWS Control Tower nella pagina Unità organizzative.
Unità organizzative consigliate oltre a quelle configurate automaticamente
-
Infrastructure OU: contiene i servizi condivisi e gli account di rete.
Nota
AWS Control Tower non configura l'unità organizzativa dell'infrastruttura per te.
-
Sandbox OU: un'unità organizzativa per lo sviluppo di software. Ad esempio, potrebbe avere un limite di spesa fisso o potrebbe non essere connessa alla rete di produzione.
Nota
AWS Control Tower consiglia di configurare l'unità organizzativa Sandbox, ma è facoltativa. Può essere configurato automaticamente come parte della configurazione della landing zone.
-
Workloads OU: contiene account che eseguono i tuoi carichi di lavoro.
Nota
AWS Control Tower non configura l'unità organizzativa Workloads per te.
Per ulteriori informazioni, consulta Production starter organization with AWS Control Tower.
Esempio di AWS Control Tower con una struttura di unità organizzativa multi-account completa
AWS Control Tower supporta una gerarchia di unità organizzative annidate, il che significa che puoi creare una struttura di unità organizzative gerarchica che soddisfi i requisiti della tua organizzazione. Puoi creare un ambiente AWS Control Tower che soddisfi le linee guida sulla strategia AWS multi-account.
Puoi anche creare una struttura di unità organizzativa più semplice e piatta che funzioni bene e sia in linea con le AWS linee guida per più account. Il fatto che sia possibile creare una struttura di unità organizzative gerarchica non significa che sia necessario farlo.
-
Per visualizzare un diagramma che mostra un set di esempio di unità organizzative in un ambiente AWS Control Tower esteso e piatto con indicazioni per AWS più account, consulta Esempio: carichi di lavoro in una struttura di unità organizzative piatta.
-
Per ulteriori informazioni su come AWS Control Tower funziona con strutture di unità organizzative annidate, consultaUnità organizzative annidate in AWS Control Tower.
-
Per ulteriori informazioni su come AWS Control Tower si allinea alle AWS linee guida, consulta il AWS white paper Organizing Your AWS Environment Using Multiple Accounts.
Il diagramma nella pagina collegata mostra che sono state create più unità organizzative di base e più unità organizzative aggiuntive. Queste unità organizzative soddisfano le esigenze aggiuntive di un'implementazione più ampia.
Nella colonna Foundational OU, sono state aggiunte due unità organizzative alla struttura di base:
-
Security_Prod OU: fornisce un'area di sola lettura per le politiche di sicurezza, nonché un'area di controllo di sicurezza infrangibile.
-
Infrastructure OU: è possibile separare l'unità organizzativa dell'infrastruttura, consigliata in precedenza, in due unità organizzative, Infrastructure_Test (per l'infrastruttura di preproduzione) e Infrastructure_Prod (per l'infrastruttura di produzione).
Nell'area delle unità organizzative aggiuntive, sono state aggiunte diverse altre unità organizzative alla struttura di base. Le seguenti sono le successive unità organizzative consigliate da creare man mano che l'ambiente cresce:
-
Workload OU: l'unità organizzativa Workloads, consigliata in precedenza ma facoltativa, è stata suddivisa in due unità organizzative, Workloads_Test (per carichi di lavoro di preproduzione) e Workloads_Prod (per carichi di lavoro di produzione).
-
PolicyStaging OU: consente agli amministratori di sistema di testare le modifiche apportate ai controlli e alle politiche prima di applicarle completamente.
-
Unità organizzativa sospesa: offre un'ubicazione per gli account che potrebbero essere stati temporaneamente disabilitati.
Informazioni sul Root
The Root non è un'unità organizzativa. È un contenitore per l'account di gestione e per tutte le unità organizzative e gli account dell'organizzazione. Concettualmente, il Root contiene tutte le unità organizzative. Non può essere eliminato. Non è possibile gestire gli account registrati a livello di root all'interno di AWS Control Tower. Gestisci invece gli account registrati all'interno delle tue unità organizzative. Per un diagramma utile, consulta la documentazione. AWS Organizations
