As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Práticas recomendadas para o gerenciamento de unidades organizacionais (OUs) com o AWS Organizations
Siga estas recomendações para obter ajuda para gerenciar um ambiente com várias contas no AWS Organizations usando unidades organizacionais (OUs).
Tópicos
Noções básicas de AWS Organizations
A base de um ambiente de várias contas da AWS bem arquitetado é o AWS Organizations que permite gerenciar e governar várias contas de forma centralizada. Uma unidade organizacional (OU) é um agrupamento lógico de contas em uma organização. As OUs permitem que você organize suas contas em uma hierarquia e ajudam a aplicar controles de gerenciamento. As políticas do Organizations definem os controles que você pode aplicar a um grupo de Contas da AWS. Por exemplo, uma política de controle de serviços (SCP) é uma política que define as ações de AWS service (Serviço da AWS), como Amazon EC2 Run Instance, que as contas da sua organização podem realizar.
Embora você possa ter iniciado sua jornada na AWS com uma única conta, a AWS recomenda que você configure várias contas à medida que as workloads aumentarem em tamanho e complexidade. Usar um ambiente com várias contas é uma prática recomendada da AWS com vários benefícios:
Inovação rápida com vários requisitos: você pode alocar Contas da AWS para diferentes equipes, projetos ou produtos em sua empresa para ajudar a garantir que cada um deles possa inovar rapidamente e, ao mesmo tempo, atender aos seus próprios requisitos de segurança.
Faturamento simplificado: o uso de várias Contas da AWS pode simplificar a forma como você aloca seus custos da AWS, ajudando a identificar qual produto ou linha de serviço é responsável por uma cobrança da AWS.
Controles de segurança flexíveis: você pode usar várias Contas da AWS para isolar workloads ou aplicações que tenham requisitos de segurança específicos ou precisem cumprir diretrizes rígidas de conformidade, como HIPAA ou PCI.
Adaptar-se aos processos de negócios: você pode organizar várias Contas da AWS da maneira que melhor reflita as diversas necessidades dos processos de negócios da sua empresa, que têm diferentes requisitos operacionais, regulatórios e orçamentários.
Unidade organizacional (OUs) fundamental recomendada
Sua unidade organizacional (OU) deve se basear na função ou no conjunto comum de controles, em vez de espelhar a estrutura hierárquica da empresa. A AWS recomenda que você comece pensando na segurança e na infraestrutura. A maioria das empresas tem equipes centralizadas que atendem a toda a organização para essas necessidades. Recomendamos criar um conjunto de OUs fundamentais para essas funções específicas:
Segurança: usada para serviços de segurança. Crie contas para arquivos de log, acesso de segurança somente para leitura, ferramentas de segurança e de emergência.
Infraestrutura: usada para serviços de infraestrutura compartilhada, como serviços de rede e TI. Crie contas para cada tipo de serviço de infraestrutura que você precisar.
Como a maioria das empresas tem requisitos de políticas diferentes para workloads de produção, a infraestrutura e a segurança podem ter OUs aninhadas para não produção (SDLC) e produção (Prod). As contas na OU do SDLC hospedam workloads que não sejam de produção e não devem ter dependências de produção de outras contas. Se houver variações nas políticas de OU entre os estágios do ciclo de vida, o SDLC poderá ser dividido em várias OUs (por exemplo, desenvolvimento e pré-produção). As contas na OU de Prod hospedam as workloads de produção.
Aplique políticas no nível da OU para governar o ambiente Prod e SDLC de acordo com seus requisitos. Em geral, aplicar políticas no nível da OU é uma prática melhor do que no nível da conta individual, pois simplifica o gerenciamento de políticas e qualquer possível solução de problemas.
O diagrama a seguir mostra as OUs fundamentais (Prod e SDLC) para segurança e infraestrutura:
Unidade organizacional (OU) adicional recomendada
Depois que os serviços centrais estiverem prontos, recomendamos criar OUs diretamente relacionadas à criação ou execução de seus produtos ou serviços. Muitos clientes da AWS criam as seguintes OUs depois de estabelecer uma base:
Sandbox: contém Contas da AWS que desenvolvedores individuais podem usar para testar Serviços da AWS. Certifique-se de que essas contas possam ser desvinculadas das redes internas.
Cargas de trabalho: contém aquelas Contas da AWS que hospedam seus serviços de aplicações externos. Você deve estruturar OUs em ambientes SDLC e Prod (semelhantes às OUs básicas) para isolar e controlar rigorosamente as workloads de produção.
Também recomendamos adicionar mais OUs para manutenção e expansão contínua, dependendo de suas necessidades específicas. A seguir estão alguns temas comuns baseados nas práticas de clientes existentes da AWS:
Preparação de políticas: contém contas da AWS nas quais você pode testar as alterações de política propostas antes de aplicá-las amplamente à organização. Comece implementando mudanças no nível da conta na OU pretendida e, lentamente, expanda para outras contas, OUs e para o resto da organização.
Suspenso: contém Contas da AWS que foram encerradas e estão aguardando para serem excluídas da organização. Anexe um SCP a essa OU que negue todas as ações. Certifique-se de que as contas estejam marcadas com detalhes para rastreabilidade, caso precisem ser restauradas.
Usuários de negócios individuais: uma OU de acesso limitado que contém Contas da AWS para usuários de negócios (não desenvolvedores) que talvez precisem criar aplicações relacionadas à produtividade comercial, por exemplo, configurar um bucket do S3 para compartilhar relatórios ou arquivos com um parceiro.
Exceções: contém Contas da AWS usadas para casos de uso de negócios que têm requisitos de segurança ou auditoria altamente personalizados, diferentes daqueles definidos na OU de workloads. Por exemplo, configurar uma Conta da AWS específica para uma nova aplicação ou atributo confidencial. Use SCPs no nível da conta para atender às necessidades personalizadas. Considere configurar um sistema Detect and React usando o Amazon EventBridge e as regras do AWS Config.
Implantações: contém Contas da AWS destinadas à integração contínua e entrega/implantação contínuas (implantações de CI/CD). Você pode criar essa OU se tiver um modelo operacional e de governança diferente para implantações de CI/CD em comparação com contas nas OUs de workloads (Prod e SDLC). A distribuição de CI/CD ajuda a reduzir a dependência organizacional em um ambiente compartilhado de CI/CD operado por uma equipe central. Para cada conjunto de Contas da AWS de SDLC/Prod para uma aplicação na OU Workloads, crie uma conta para CI/CD na OU de Implantações.
Transitório: é usado como uma área de retenção temporária para contas e workloads existentes antes de transferi-las para áreas padrão da sua organização. As contas podem fazer parte de uma aquisição, serem anteriormente gerenciadas por terceiros, ou serem contas legadas de uma estrutura organizacional antiga.
O diagrama a seguir mostra OUs adicionais para sandbox, workloads, preparação de políticas, suspensas, usuários de negócios individuais, exceções, implantações e contas transitórias:
Conclusão
Uma estratégia de várias contas bem arquitetada pode ajudar a inovar na AWS e a garantir que você atenda às suas necessidades de segurança e escalabilidade. A estrutura descrita neste tópico representa as melhores práticas da AWS que você deve usar como ponto de partida para sua jornada da AWS.
O diagrama a seguir mostra OUs fundamentais recomendadas e OUs adicionais:
