Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Struttura degli account dedicata
| Influenza il futuro della AWS Security Reference Architecture (AWS SRA) rispondendo a un breve sondaggio |
Un AWS account offre sicurezza, accesso e limiti di fatturazione per le AWS risorse e consente di raggiungere l'indipendenza e l'isolamento delle risorse. Per impostazione predefinita, non è consentito l'accesso tra account.
Quando si progetta l'unità organizzativa e la struttura degli account, è necessario iniziare pensando alla sicurezza e all'infrastruttura. Ti consigliamo di creare un set di funzionalità di base OUs per queste funzioni specifiche, suddivise in Infrastruttura e SicurezzaOUs. Questi consigli sulle unità organizzative e sugli account comprendono un sottoinsieme delle nostre linee guida più ampie e complete per AWS Organizations e la progettazione di strutture multi-account. Per una serie completa di consigli, consulta Organizing Your AWS Environment Using Multiple Accounts nella AWS documentazione e nel post del blog Best Practices for Organizational Units with AWS Organizations
AWSSRAUtilizza i seguenti account per eseguire operazioni di sicurezza efficaci suAWS. Questi account dedicati aiutano a garantire la separazione delle mansioni, supportano diverse politiche di governance e accesso per diversi aspetti sensibili di applicazioni e dati e aiutano a mitigare l'impatto di un evento di sicurezza. Nelle discussioni che seguono, ci concentriamo sugli account di produzione (di produzione) e sui carichi di lavoro associati. Gli account del ciclo di vita dello sviluppo del software (SDLC) (spesso denominati account di sviluppo e test) sono destinati alla gestione temporanea dei risultati finali e possono funzionare secondo una serie di politiche di sicurezza diverse da quelle degli account di produzione.
Account |
OU |
Ruolo di sicurezza |
Gestione
|
— |
Governance e gestione centralizzate di tutte le AWS regioni e gli account. L'AWSaccount che ospita la radice dell'AWSorganizzazione. |
Strumenti di sicurezza |
Sicurezza |
AWSAccount dedicati per gestire servizi di sicurezza di ampia portata (come Amazon GuardDuty, AWS Security Hub, AWS Audit Manager, Amazon Detective, Amazon Inspector e AWS Config), AWS monitorare gli account e automatizzare gli avvisi e le risposte di sicurezza. (In AWS Control Tower, il nome predefinito per l'account nell'unità organizzativa di sicurezza è Account Audit.) |
Archivio dei registri |
Sicurezza |
AWSAccount dedicati per l'acquisizione e l'archiviazione di tutti i log e i backup per tutte le regioni e gli account. AWS AWS Questo dovrebbe essere progettato come storage immutabile. |
Rete |
Infrastruttura |
Il gateway tra la tua applicazione e la più ampia rete Internet. L'account di rete isola i servizi di rete, la configurazione e il funzionamento più ampi dai carichi di lavoro, dalla sicurezza e da altre infrastrutture delle singole applicazioni. |
Servizi condivisi |
Infrastruttura |
Questo account supporta i servizi utilizzati da più applicazioni e team per fornire i propri risultati. Gli esempi includono i servizi di directory di Identity Center (Active Directory), i servizi di messaggistica e i servizi di metadati. |
Applicazione |
Carichi di lavoro |
AWSaccount che ospitano le applicazioni AWS dell'organizzazione ed eseguono i carichi di lavoro. (A volte vengono chiamati account Workload). Gli account delle applicazioni devono essere creati per isolare i servizi software anziché essere mappati ai team. Ciò rende l'applicazione distribuita più resistente ai cambiamenti organizzativi. |
