OPS01-BP03 評估管控要求 - 卓越營運支柱
實作指引資源

OPS01-BP03 評估管控要求

管控是政策、規則或架構的集合,供公司用來達成其商業目標。管控要求產生自您的組織內部。這些要求可能會影響到您所選擇的技術類型,或是您操作工作負載的方式。將組織管控要求納入您的工作負載中。合規是指展現您已實作管控要求的能力。

預期成果:

  • 管控要求會併入工作負載的架構設計和操作中。

  • 您可以提供您已遵循管控要求的證明。

  • 定期審查並更新管控要求。

常見的反模式:

  • 您的組織規定根帳戶需進行多重要素驗證。您未能實行此要求,根帳戶遭到損害。

  • 在設計工作負載期間,您選擇了未經 IT 部門核准的執行個體類型。您無法啟動工作負載,而必須執行重新設計。

  • 您必須有災難復原計劃。您未建立該計劃,且工作負載遭逢長時間的中斷。

  • 您的團隊想要使用新的執行個體,但您的管理要求尚未更新予以允許。

建立此最佳實務的優勢:

  • 遵循管控要求,可讓您的工作負載符合較大組織的政策。

  • 管控要求會反映組織的產業標準和最佳實務。

未建立此最佳實務時的風險暴露等級:

實作指引

與利害關係人和管控組織共同識別管控要求。將管控要求納入您的工作負載中。能夠證明您已遵循管控要求。

客戶範例

在 AnyCompany Retail,雲端營運團隊與組織內的利害關係人共同制定管控要求。例如,他們禁止對 Amazon EC2 執行個體進行 SSH 存取。如果團隊需進行系統存取,他們必須使用 AWS Systems Manager Session Manager。雲端營運團隊會在新服務推出時定期更新管控要求。

實作步驟

  1. 識別工作負載的利害關係人,包括任何集中團隊。

  2. 與利害關係人共同識別管控要求。

  3. 產生清單後,請排定改善項目的優先順序,並開始在您的工作負載中加以實作。

    1. 使用 AWS Config 之類的服務建立「管控即程式碼」,並驗證確實遵循了管控要求。

    2. 如果您使用 AWS Organizations,您可以利用服務控制政策來實作管控要求。

  4. 提供驗證實作情形的文件。

實作計劃的工作量:中。實作遺漏的管控要求可能會導致工作負載重新作業。

資源

相關的最佳實務:

相關文件:

相關影片:

相關範例:

相關服務: