Gestione e separazione degli account AWS

Ti consigliamo di organizzare i carichi di lavoro in account e account di gruppo separati in base a funzione, requisiti di conformità o a un set comune di controlli anziché riflettere la struttura della creazione di report dell'organizzazione. In AWS, gli account rappresentano un confine rigido. Ad esempio, la separazione a livello di account è fortemente consigliata per isolare i carichi di lavoro di produzione dai carichi di lavoro di sviluppo e test.

Gestione centralizzata degli account: AWS Organizations automatizza la creazione e la gestione di account AWS e il relativo controllo dopo la loro creazione. Quando crei un account tramite AWS Organizations, è importante considerare l'indirizzo e-mail utilizzato, in quanto questo sarà l'utente root che consente la reimpostazione della password. Organizations consente di raggruppare gli account in unità organizzative (UO), che possono rappresentare ambienti diversi in base ai requisiti e allo scopo del carico di lavoro.

Impostazione dei controlli a livello centrale: controlla le operazioni che gli account AWS possono eseguire consentendo solo servizi, regioni e azioni del servizio specifici al livello appropriato. AWS Organizations consente di utilizzare le policy di controllo dei servizi (SCP) per applicare guardrail alle autorizzazioni a livello di organizzazione, unità organizzativa o account, validi per tutti gli i ruoli e utenti AWS Identity and Access Management (IAM). Ad esempio, è possibile applicare una SCP che limita agli utenti l'avvio di risorse in regioni che non sono state esplicitamente consentite. AWS Control Tower offre un modo semplificato per configurare e gestire più account. Automatizza la configurazione degli account in AWS Organizations, automatizza il provisioning, applica guardrail (che includono prevenzione e rilevamento) e fornisce un pannello di controllo per la visibilità.

Configurazione di servizi e risorse a livello centrale: AWS Organizations ti aiuta a configurare i servizi AWS applicabili a tutti i tuoi account. Ad esempio, puoi configurare la creazione di log centralizzata di tutte le operazioni eseguite nell'organizzazione utilizzando AWS CloudTrail, e impedire agli account membri di disabilitare tale funzione. Puoi inoltre aggregare a livello centrale i dati per le regole definite utilizzando AWS Config, in modo da eseguire l'audit dei tuoi carichi di lavoro per verificare la conformità e reagire rapidamente alle modifiche. AWS CloudFormation StackSets consente di gestire in modo centralizzato gli stack di AWS CloudFormation negli account e nelle unità organizzative della tua organizzazione. In questo modo puoi effettuare automaticamente il provisioning di un nuovo account per soddisfare i requisiti di sicurezza.

Usa la funzionalità di amministrazione delegata dei servizi di sicurezza per separare gli account utilizzati per la gestione dall'account (di gestione) della fatturazione dell'organizzazione. Diversi servizi AWS, come GuardDuty, Security Hub e AWS Config, supportano le integrazioni con AWS Organizations, inclusa l'individuazione di un account specifico per le funzioni amministrative.

Best practice

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Governance

SEC01-BP01 Separazione dei carichi di lavoro tramite account