本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
什么是登录区?
landing zone 是一个架构精良的多账户 AWS 环境,具有可扩展性和安全性。这是一个起点,您的组织可以从这里放心地在安全和基础设施环境中快速启动和部署工作负载和应用程序。建立登录区需要根据贵组织的发展和未来业务目标,在账户结构、网络、安全和访问管理方面做出技术和业务决策。
当你开始大规模使用 AWS 时,你可以 AWS 寻求规范性指导和建立环境的方法。 AWS 该领域的最佳实践围绕着需要将资源和工作负载隔离到多个 AWS 账户(资源容器)中,以实现隔离和减少影响的范围。下一节将解释为什么要使用多个帐户。
多账户框架
尽管您不应该拥有标准数量的 AWS 账户,但我们建议您创建多个 AWS 账户。多个账户提供最高级别的资源和安全隔离。如果您对以下任一问题的回答为 “是”,可以考虑创建其他 AWS 账户:
-
您的企业是否需要在工作负载之间进行管理隔离?
-
您的企业是否需要有限的工作负载的可见性和可发现性?
-
您的企业是否需要隔离以最大限度地减少影响范围?
-
您的企业是否需要对恢复或审计数据进行严格隔离?
以下是单个账户可能不够用的其他原因:
-
安全控制 — 不同的应用程序可能具有不同的安全配置文件,需要不同的控制策略和机制。例如,与审计师交谈并指向托管您的支付卡行业 (PCI) 工作负载的单个账户会更容易。
-
隔离:账户是安全保护的单位。在不影响其他账户的情况下,应将潜在风险和安全威胁控制在一个账户内。由于多个团队或不同的安全配置文件,不同的安全需求可能需要您将一个帐户与另一个帐户隔离开来。
-
数据隔离-将数据存储隔离到一个账户限制了可以访问和管理该数据存储的人数。这可以限制对高度私密的数据的暴露,并有助于遵守《通用数据保护条例》(GDPR)。
-
许多团队 – 不同的团队有不同的职责和资源需求。他们不应该在同一个账户中互相阻碍。
-
业务流程:不同的业务单位或产品可能有完全不同的目的和流程。您应该建立不同的账户来满足业务的特定需求。
-
账单 — 账户是在账单层面分开项目(包括分开转账费用)的唯一真正方法。多个账户有助于在账单层面上对业务部门、职能团队或个人用户进行项目区分。
-
限额分配:限额按账户计算。将工作负载分成不同的帐户可以防止它们消耗限制或可能过度配置资源,从而阻止其他应用程序按预期运行。
