Estratégia de várias contas da AWS para sua zona de pouso do AWS Control Tower
Os clientes do AWS Control Tower geralmente buscam orientações sobre como configurar seu ambiente da AWS e suas contas para ter melhores resultados. A AWS criou um conjunto unificado de recomendações, chamado de estratégia de várias contas, para ajudar você a fazer o melhor uso de seus recursos da AWS, incluindo a zona de pouso do AWS Control Tower.
Essencialmente, o AWS Control Tower atua como uma camada de orquestração que funciona com outros serviços da AWS, que ajudam você a implementar as recomendações de várias contas da AWS para contas da AWS e o AWS Organizations. Depois que a zona de pouso for configurada, o AWS Control Tower continuará ajudando você a manter suas políticas corporativas e práticas de segurança em várias contas e workloads.
A maioria das zonas de pouso se desenvolve com o tempo. À medida que o número de unidades organizacionais (UOs) e contas na sua zona de pouso do AWS Control Tower aumenta, você pode estender a implantação do AWS Control Tower de forma a ajudar a organizar suas workloads de forma eficaz. Esse capítulo fornece orientações prescritivas sobre como planejar e configurar a zona de pouso do AWS Control Tower, de acordo com a estratégia de várias contas da AWS, e estendê-la ao longo do tempo.
Consulte uma discussão geral sobre as práticas recomendadas para unidades organizacionais em Best Practices for Organizational Units with AWS Organizations
Estratégia de várias contas da AWS: orientações sobre as práticas recomendadas
As práticas recomendadas da AWS para um ambiente bem arquitetado recomendam que você separe seus recursos e workloads em várias contas da AWS. Você pode pensar nas contas da AWS como contêineres de recursos isolados: elas oferecem categorização da workload, bem como redução do raio de alcance quando as coisas dão errado.
- Definição de uma conta da AWS
-
Uma conta da AWS atua como um contêiner de recursos e um limite de isolamento de recursos.
nota
Uma conta da AWS não é o mesmo que uma conta de usuário, que é configurada por meio da Federação ou do AWS Identity and Access Management (IAM).
Mais sobre contas da AWS
Uma conta da AWS permite isolar recursos e conter ameaças à segurança de suas workloads da AWS. Uma conta também fornece um mecanismo para cobrança e governança de um ambiente de workload.
A conta da AWS é o principal mecanismo de implementação para fornecer um contêiner de recursos para suas workloads. Se o seu ambiente for bem arquitetado, você poderá gerenciar várias contas da AWS com eficiência e, assim, gerenciar várias workloads e ambientes.
O AWS Control Tower configura um ambiente bem arquitetado. Além disso, ele depende de contas da AWS que ajudam a controlar mudanças em seu ambiente que podem se estender a várias contas do AWS Organizations.
- Definição de um ambiente bem arquitetado
-
A AWS define um ambiente bem arquitetado como aquele que começa com uma zona de pouso.
O AWS Control Tower oferece uma zona de pouso que é configurada automaticamente. Ele impõe controles para garantir a conformidade com suas diretrizes corporativas em várias contas em seu ambiente.
- Definição de um zona de pouso
-
A zona de pouso é um ambiente de nuvem que oferece um ponto de partida recomendado, incluindo contas padrão, estrutura de contas, layouts de rede e segurança e assim por diante. Com uma zona de pouso, é possível implantar workloads que utilizam suas soluções e aplicações.
Diretrizes para configurar um ambiente bem arquitetado
Os três componentes principais de um ambiente bem arquitetado, explicados nas seções a seguir, são:
-
Várias contas da AWS
-
Várias unidades organizacionais (UOs)
-
Uma estrutura bem planejada
Usar várias contas da AWS
Uma conta não é suficiente para configurar um ambiente bem arquitetado. Ao usar várias contas, é possível oferecer melhor suporte às suas metas de segurança e processos comerciais. Veja alguns benefícios de usar uma abordagem de várias contas:
-
Controle de segurança: as aplicações têm diferentes perfis de segurança, portanto exigem políticas e mecanismos de controle diferentes. Por exemplo, é mais fácil falar com um auditor e apontar para uma única conta que hospeda a workload do setor de cartões de pagamento (PCI).
-
Isolamento: uma conta é uma unidade de proteção de segurança. Os possíveis riscos e as ameaças à segurança devem estar contidos em uma conta sem afetar outras. Portanto, as necessidades de segurança podem exigir que você isole as contas umas das outras. Por exemplo, é possível ter equipes com perfis de segurança diferentes.
-
Muitas equipes: as equipes têm responsabilidades e necessidades de recursos diferentes. Ao configurar várias contas, as equipes não podem interferir umas nas outras, como fariam ao usar a mesma conta.
-
Isolamento de dados: isolar os armazenamentos de dados em uma conta ajuda a limitar o número de pessoas que têm acesso aos dados e podem gerenciar o armazenamento de dados. Esse isolamento ajuda a evitar a exposição não autorizada de dados altamente privados. Por exemplo, o isolamento de dados ajuda a apoiar a conformidade com o Regulamento Geral sobre a Proteção de Dados (GDPR).
-
Processo empresarial: as unidades de negócios ou produtos costumam ter finalidades e processos completamente diferentes. Contas individuais podem ser estabelecidas para atender às necessidades específicas do negócio.
-
Faturamento: uma conta é a única maneira verdadeira de separar itens em um nível de faturamento, incluindo coisas como taxas de transferência e assim por diante. A estratégia de várias contas ajuda a criar itens separados passíveis de cobrança em unidades de negócios, equipes funcionais ou usuários individuais.
-
Alocação de cotas: as cotas da AWS são configuradas por conta. A separação das workloads em contas diferentes dá a cada conta (como um projeto) uma cota individual bem definida.
Usar várias unidades organizacionais
O AWS Control Tower e outras estruturas de orquestração de contas podem fazer alterações que ultrapassam os limites da conta. Portanto, as práticas recomendadas da AWS tratam de mudanças em várias contas, que podem prejudicar um ambiente ou sua segurança. Em alguns casos, as mudanças podem afetar o ambiente geral, além das políticas. Como resultado, recomendamos que você configure pelo menos duas contas obrigatórias, de produção e de preparação.
Além disso, as contas da AWS geralmente são agrupadas em unidades organizacionais (UOs), para fins de governança e controle. As UOs são projetadas para lidar com a aplicação de políticas em várias contas.
Nossa recomendação é que, no mínimo, você crie um ambiente de pré-produção (ou preparação) diferente do ambiente de produção, com controles e políticas distintos. Os ambientes de produção e preparação podem ser criados e administrados como UOs separadas e cobrados como contas separadas. Além disso, você pode querer configurar uma UO de sandbox para testes de código.
Usar uma estrutura bem planejada para UOs na zona de pouso
O AWS Control Tower configura algumas OUs para você automaticamente. À medida que suas workloads e seus requisitos se expandem com o tempo, você pode estender a configuração original da zona de pouso para atender às suas necessidades.
nota
Os nomes fornecidos nos exemplos seguem as convenções de nomenclatura da AWS sugeridas para configurar um ambiente de várias contas da AWS. É possível renomear as UOs depois de configurar a zona de pouso, selecionando Editar na página de detalhes da UO.
Recomendações
Depois que o AWS Control Tower configurar a primeira UO necessária para você, a UO de segurança, recomendamos criar algumas UOs adicionais na zona de pouso.
Recomendamos que você permita que o AWS Control Tower crie pelo menos uma UO adicional, chamada UO de sandbox. Essa UO é para seus ambientes de desenvolvimento de software. O AWS Control Tower pode configurar a UO de sandbox para você durante a criação da zona de pouso, caso a selecione.
Duas outras UOs recomendadas que você pode configurar por conta própria: a UO de infraestrutura, para conter seus serviços compartilhados e contas de rede, e uma UO para conter suas workloads de produção, chamada de UO de workloads. É possível adicionar outras UOs à zona de pouso no console do AWS Control Tower na página Unidades organizacionais.
UOs recomendadas, além das configuradas automaticamente
-
UO de infraestrutura: contém seus serviços compartilhados e contas de rede.
nota
O AWS Control Tower não configura a UO de infraestrutura para você.
-
UO de sandbox: uma UO de desenvolvimento de software. Por exemplo, ela pode ter um limite fixo de gastos ou pode não estar conectada à rede de produção.
nota
O AWS Control Tower recomenda que você configure a UO de sandbox, mas ela é opcional. Ela pode ser configurada automaticamente como parte da configuração da zona de pouso.
-
UO de workloads: contém contas que executam suas workloads.
nota
O AWS Control Tower não configura a UO de workloads para você.
Consulte mais informações em Production starter organization with AWS Control Tower.
Exemplo do AWS Control Tower com uma estrutura completa de UO de várias contas
O AWS Control Tower permite definir uma hierarquia de UO aninhada, o que significa que você pode criar uma estrutura hierárquica de OU que atenda aos requisitos da sua organização. É possível criar um ambiente do AWS Control Tower de acordo com a orientação estratégica de várias contas da AWS.
Você também pode criar uma estrutura de UO mais simples e plana que tenha um bom desempenho e esteja alinhada com a orientação de várias contas da AWS. Só porque você pode criar uma estrutura hierárquica de UO, isso não significa que deva fazer isso.
-
Consulte um diagrama que mostra um exemplo de conjunto de UOs em um ambiente expandido e plano do AWS Control Tower com orientação para várias contas da AWS em Example: Workloads in a Flat OU Structure.
-
Consulte mais informações sobre como o AWS Control Tower funciona com estruturas de UO aninhada em UOs aninhadas no AWS Control Tower.
-
Consulte mais informações sobre como o AWS Control Tower se alinha à orientação da AWS no whitepaper da AWS, Organizing Your AWS Environment Using Multiple Accounts.
O diagrama na página vinculada mostra que mais UOs fundamentais e mais UOs adicionais foram criadas. Essas UOs atendem às necessidades adicionais de uma implantação maior.
Na coluna de UOs fundamentais, duas UOs foram adicionadas à estrutura básica:
-
UO Security_Prod: fornece uma área somente leitura para políticas de segurança, bem como uma área de auditoria de segurança emergencial.
-
UO de infraestrutura: talvez você queira separar a UO de infraestrutura, recomendada anteriormente, em duas UOs, Infrastructure_Test (para infraestrutura de pré-produção) e Infrastructure_Prod (para infraestrutura de produção).
Na área de UOs adicionais, várias outras UOs foram adicionadas à estrutura básica. A seguir estão as próximas UOs recomendadas para criar à medida que seu ambiente cresce:
-
UO de workloads: a UO de workloads, recomendada anteriormente, mas que é opcional, foi separada em duas UOs, Workloads_Test (para workloads de pré-produção) e Workloads_Prod (para workloads de produção).
-
UO PolicyStaging: permite que os administradores do sistema testem suas alterações nos controles e políticas antes de aplicá-las totalmente.
-
OU suspensa: oferece um local para contas que podem ter sido desativadas temporariamente.
Sobre a raiz
A raiz não é uma UO. Ela é um contêiner para a conta de gerenciamento e para todas as UOs e contas da sua organização. Conceitualmente, a raiz contém todas as UOs. Ela não pode ser excluída. Não é possível administrar contas inscritas no nível de raiz no AWS Control Tower. Em vez disso, administre as contas inscritas em suas UOs. Consulte um diagrama útil na documentação do AWS Organizations.
