什麼是 landing zone? - AWS 規範指引

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

什麼是 landing zone?

landing zone 是一個架構良好的多帳戶 AWS 環境,具有可擴展性和安全性。這是一個起點,您的組織可以在安全性和基礎架構環境中充滿信心地快速啟動和部署工作負載和應用程式。建立 landing zone 需要根據貴組織的成長和 future 業務目標,在客戶結構、網路、安全性和存取管理方面做出技術和業務決策。

當您開始大規模使用 AWS 時,您可以 AWS 尋求規範性指引和建立環境的方法。 AWS 此區域的最佳實務主要是將資源和工作負載隔離到多個 AWS 帳戶 (資源容器) 中,以隔離和減少影響範圍的需求。下一節說明您要使用多個帳戶的原因。

多帳戶框架

雖然您應該擁有的 AWS 帳戶沒有標準數量,但我們建議您建立多個 AWS 帳戶。多個帳戶提供最高等級的資源和安全隔離。如果您對下列任一問題回答「是」,請考慮建立其他 AWS 科目:

  • 您的企業需要工作負載之間的管理隔離嗎?

  • 您的企業是否需要有限的工作負載能見度和可探索性?

  • 您的企業是否需要隔離才能將影響範圍降至最低?

  • 您的企業是否需要強烈隔離復原或稽核資料?

以下是單個帳戶可能不夠的其他原因:

  • 安全性控制 — 不同的應用程式可能具有不同的安全性設定檔,這些設定檔需要不同的 例如,您可以更輕鬆地與稽核員交談,並指向託管支付卡產業 (PCI) 工作負載的單一帳戶。

  • 隔離 — 帳戶是安全保護的一個單位。帳戶中應包含潛在風險和安全威脅,而不會影響其他帳戶。由於多個團隊或不同的安全性設定檔,不同的安全性需求可能會要求您將一個帳戶與另一個帳戶隔離。

  • 資料隔離 — 將資料存放區隔離至帳戶,可限制可存取和管理該資料存放區的人數。這會限制暴露於高度私密的資料,並有助於遵守《一般資料保護條例》(GDPR)。

  • 許多團隊 — 不同的團隊有不同的職責和資源需求。他們不應該在同一個帳戶中互相阻礙。

  • 業務程序 — 不同的業務單位或產品可能有不同的用途和程序。您應該建立不同的帳戶以滿足特定業務需求。

  • 帳單 — 帳戶是在帳單層級分隔項目的唯一真實方法,包括分隔轉移費用。多個帳戶有助於跨業務單位、功能團隊或個別使用者在帳單層級分隔項目。

  • 限制配置 — 限制是每個帳戶。將工作負載分隔到不同的帳戶中,可防止它們消耗限制或可能過度佈建資源,然後防止其他應用程式如預期運作。