Cos'è una landing zone? - AWS Guida prescrittiva
Il framework multi-account

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Cos'è una landing zone?

Una landing zone è un AWS ambiente multi-account ben progettato, scalabile e sicuro. Questo è un punto di partenza dal quale l'organizzazione può avviare e distribuire rapidamente carichi di lavoro e applicazioni con fiducia nell'ambiente di sicurezza e infrastruttura. La creazione di una landing zone implica decisioni tecniche e aziendali da prendere in merito alla struttura degli account, al networking, alla sicurezza e alla gestione degli accessi, in base alla crescita dell'organizzazione e agli obiettivi aziendali per il futuro.

Quando si inizia AWS a utilizzare su larga scala, è possibile affidarsi a AWS linee guida prescrittive e a un approccio per definire l'ambiente. AWS le migliori pratiche in quest'area sono incentrate sulla necessità di isolare le risorse e i carichi di lavoro in più AWS account (contenitori di risorse) per l'isolamento e la riduzione dell'impatto. La sezione successiva spiega perché si desidera utilizzare più account.

Il framework multi-account

Sebbene non esista un numero standard di AWS account da avere, ti consigliamo di creare più di un AWS account. Gli account multipli offrono il massimo livello di isolamento delle risorse e della sicurezza. Valuta la possibilità di creare AWS account aggiuntivi se rispondi affermativamente a una delle seguenti domande:

  • La tua azienda richiede l'isolamento amministrativo tra i carichi di lavoro?

  • La tua azienda richiede visibilità e reperibilità limitate dei carichi di lavoro?

  • La tua azienda richiede l'isolamento per ridurre al minimo l'ambito dell'impatto?

  • La tua azienda richiede un forte isolamento dei dati di ripristino o controllo?

Ecco altri motivi per cui un singolo account potrebbe non essere sufficiente:

  • Controlli di sicurezza: applicazioni diverse possono avere profili di sicurezza diversi che richiedono politiche e meccanismi di controllo diversi. Ad esempio, è più semplice parlare con un revisore e indicare un unico account che gestisca il carico di lavoro di Payment Card Industry (PCI).

  • Isolamento: un account è un'unità di protezione della sicurezza. I potenziali rischi e le minacce alla sicurezza devono essere contenuti all'interno di un account senza influire sugli altri account. Esigenze di sicurezza diverse potrebbero richiedere l'isolamento di un account da un altro a causa della presenza di più team o di un profilo di sicurezza diverso.

  • Isolamento dei dati: l'isolamento degli archivi dati in un account limita il numero di persone che possono accedere e gestire tale archivio dati. Ciò limita l'esposizione a dati altamente privati e contribuisce alla conformità al Regolamento generale sulla protezione dei dati (GDPR).

  • Molti team: team diversi hanno responsabilità e fabbisogni di risorse diversi. Non dovrebbero intralciarsi a vicenda sullo stesso account.

  • Processo aziendale: diverse unità aziendali o prodotti potrebbero avere scopi e processi diversi. È necessario creare account diversi per soddisfare le esigenze specifiche dell'azienda.

  • Fatturazione: un account è l'unico vero modo per separare gli articoli a livello di fatturazione, inclusa la separazione delle spese di trasferimento. Gli account multipli consentono di separare gli elementi a livello di fatturazione tra unità aziendali, team funzionali o singoli utenti.

  • Allocazione dei limiti: i limiti sono per account. La separazione dei carichi di lavoro in diversi account impedisce loro di consumare limiti o di sovraccaricare le risorse e quindi impedire ad altre applicazioni di funzionare come previsto.