وضع أفضل ممارسات بيئة AWS

ما أهمية إعداد بيئة AWS متعددة الحسابات؟

يتيح لك نظام AWS التجربة والابتكار والعمل على نطاق واسع بسرعة أكبر، وكل ذلك مع توفير بيئة السحابة الأكثر مرونة وأمانًا. ويُعد حساب AWS إحدى الوسائل المهمة التي يضمن نظام AWS من خلالها تحقيق الأمان لتطبيقاتك. يوفر حساب AWS الأمان الطبيعي والوصول وحدود الفواتير لموارد AWS لديك، ويتيح لك تحقيق استقلالية الموارد وعزلها. فعلى سبيل المثال، لا يتمتع المستخدمون خارج حسابك بحق الوصول إلى مواردك افتراضيًا. وعلى نحو مماثل، يتم تخصيص تكلفة موارد AWS التي تستهلكها إلى حسابك. بينما قد تبدأ رحلتك مع استخدام نظام AWS من خلال حساب واحد، يوصيك نظام AWS بإعداد حسابات متعددة مع زيادة أعباء الأعمال لديك من حيث الحجم ودرجة التعقيد. يُعد استخدام بيئة متعددة الحسابات أحد أفضل ممارسات AWS التي توفر العديد من المزايا التالية:

  • سرعة الابتكار بمتطلبات متنوعة - يمكنك تخصيص حسابات AWS إلى مختلف الفِرق أو المشاريع أو المنتجات داخل شركتك لضمان قدرة كل فرد على الابتكار سريعًا مع السماح بمتطلبات الأمان الخاصة به.
  • الفواتير المبسّطة - يعمل استخدام حسابات AWS المتعددة على تبسيط طريقة تخصيص تكلفة AWS من خلال المساعدة في تحديد نوع الخدمة أو المنتج المسؤول عن رسوم AWS.
  • ضوابط الأمان المرنة - يمكنك استخدام حسابات AWS متعددة لعزل أعباء الأعمال أو التطبيقات التي تحتاج إلى متطلبات أمان محددة، أو إلى تلبية إرشادات صارمة للامتثال مثل HIPAA أو PCI.
  • التكيف بسهولة مع العمليات التجارية - يمكنك بسهولة تنظيم حسابات AWS متعددة بطريقة تعكس بشكل أفضل الاحتياجات المتنوعة اللازمة للعمليات التجارية في شركتك وتتضمن مجموعة متنوعة من المتطلبات التشغيلية والتنظيمية والمتطلبات المتعلقة بالميزانية.

في النهاية، تتيح لك بيئة AWS متعددة الحسابات استخدام السحابة للانتقال بشكل أسرع، وإنشاء منتجات وخدمات متميزة، وكل ذلك مع ضمان التنفيذ بطريقة آمنة وقابلة للتوسع ومرنة. لكن، كيف يمكنك إنشاء بيئة AWS متعددة الحسابات؟ قد تراودك أسئلة، مثل تعريف بنية الحساب اللازم استخدامها، أو تحديد السياسات وحواجز الحماية التي يجب تنفيذها، أو كيفية إعداد بيئتك للتدقيق.

سيرشدك بقية هذا الدليل إلى عناصر إنشاء بيئة AWS المتعددة الحسابات الآمنة والمنتجة ويُشار إليها غالبًا باسم "منطقة الهبوط" وفقًا لتوصية AWS. ويمثل ذلك أفضل الممارسات التي يمكن استخدامها في إنشاء إطار عمل أولي مع السماح بالمرونة في أثناء زيادة أعباء أعمال AWS بمرور الوقت.

أفضل الممارسات اللازمة لإعداد بيئة AWS متعددة الحسابات

يكمن أساس بيئة AWS متعددة الحسابات وجيدة التصميم في AWS Organizations وهي إحدى خدمات AWS التي تتيح لك إدارة حسابات متعددة وتنظيمها مركزيًا. لنتعرف على بعض المصطلحات قبل البدء. الوحدة التنظيمية (OU) هي مجموعة منطقية من الحسابات في AWS Organization. وتتيح لك الوحدات التنظيمية تنظيم حساباتك في تسلسل هرمي، وتسهل عليك تطبيق عناصر التحكم في الإدارة. تمثل سياسات AWS Organizations الإجراءات التي تستخدمها في تطبيق عناصر التحكم هذه. سياسة التحكم في الخدمة (SCP) هي سياسة تحدد إجراءات خدمة AWS، مثل مثيل تشغيل Amazon EC2، التي يمكن تنفيذها من خلال الحسابات في منظمتك.

ضع في اعتبارك أولاً مجموعات الحسابات أو الوحدات التنظيمية التي يجب عليك إنشاؤها. ويجب أن تستند الوحدات التنظيمية لديك إلى وظيفة أو مجموعة مشتركة من عناصر التحكم، بدلاً من نسخ هيكل التقارير في شركتك. يوصيك نظام AWS بمراعاة الأمان والبنية التحتية أولاً. وتتوفر لدى معظم الشركات فِرق مركزية تخدم المنظمة بالكامل لتلبية تلك الاحتياجات. وعلى هذا النحو، نوصي بإنشاء مجموعة من الوحدات التنظيمية الأساسية لبعض الوظائف التالية:

  • البنية التحتية: يتم استخدامها في خدمات البنية التحتية المشتركة، مثل خدمات الشبكات وتكنولوجيا المعلومات (IT). لذا أنشئ حسابات لكل نوع من أنواع خدمات البنية التحتية التي تحتاج إليها.
  • الأمان: يتم استخدامه في توفير خدمات الأمان. لذا أنشئ حسابات لأرشيفات السجلات، والوصول الآمن للقراءة فقط، وأدوات الأمان، وحسابات للوصول في حالات الطوارئ.

نظرًا إلى أن معظم الشركات تحتاج إلى متطلبات سياسات مختلفة بالنسبة لأعباء أعمال الإنتاج، قد تتوفر لدى البنية التحتية والأمان وحدات تنظيمية متداخلة في البيئات غير الإنتاجية (دورة حياة تطوير البرمجيات (SDLC)) والبيئات الإنتاجية (الإنتاج). وتستضيف الحسابات في الوحدة التنظيمية لدورة حياة تطوير البرمجيات أعباء أعمال غير إنتاجية، وبالتالي يجب ألا تحتوي على تبعيات إنتاج من حسابات أخرى. في حالة وجود اختلافات في سياسات الوحدة التنظيمية بين مراحل دورات الحياة، يمكن تقسيم دورة حياة تطوير البرمجيات إلى وحدات تنظيمية متعددة (مثل مرحلة التطوير ومرحلة ما قبل الإنتاج). وتستضيف الحسابات في الوحدة التنظيمية للإنتاج أعباء أعمال الإنتاج.

قم بتطبيق السياسات على مستوى الوحدة التنظيمية من أجل تنظيم بيئتي الإنتاج ودورة حياة تطوير البرمجيات وفقًا لمتطلباتك. وبوجه عام، يُعد تطبيق السياسات على مستوى الوحدة التنظيمية ممارسة أفضل مقارنة بتطبيقها على مستوى الحساب الفردي لأنه يبسط إدارة السياسة واستكشاف أي أخطاء محتملة وإصلاحها.

Product-Page-Diagram_Foundational

بمجرد تطبيق الخدمات المركزية بشكل صحيح، نوصي بإنشاء وحدات تنظيمية تتعلق مباشرة بإنشاء المنتجات أو الخدمات، أو تشغيلها. وينشئ العديد من عملاء AWS هذه الوحدات التنظيمية بعد وضع القواعد الأساسية.

  • بيئة الاختبار المعزولة: تتضمن حسابات AWS التي يمكن للمطورين من الأفراد استخدامها في تجربة خدمات AWS. وتأكد من إمكانية فصل هذه الحسابات عن الشبكات الداخلية، وقم بإعداد عملية للحد من الإنفاق بغرض تجنب الاستخدام المفرط.
  • أعباء الأعمال: تحتوي على حسابات AWS التي تستضيف خدمات التطبيقات الخارجية. ويجب عليك هيكلة وحدة تنظيمية ضمن بيئتي دورة حياة تطوير البرمجيات والإنتاج (مثل الوحدة التنظيمية الأساسية) من أجل عزل أعباء أعمال الإنتاج، والتحكم فيها بشكل صارم.

الآن بعد إنشاء الوحدات التنظيمية الأساسية والموجهة نحو الإنتاج، نوصي بإضافة وحدات تنظيمية أخرى لأغراض الصيانة ومواصلة التوسع بناءً على احتياجاتك الخاصة. وفيما يلي بعض المواضيع الشائعة بناءً على ممارسات عملاء AWS الحاليين:

  • تنظيم السياسات: تتضمن حسابات AWS حيث يمكنك إجراء اختبارات على تغييرات السياسات المقترحة قبل تطبيقها على نطاق واسع داخل المنظمة. وابدأ بإجراء التغييرات على مستوى الحساب في الوحدة التنظيمية المقصودة، واعمل ببطء في الحسابات الأخرى، وكذلك الوحدات التنظيمية وفي باقي أقسام المنظمة.
  • الإيقاف المؤقت: يحتوي على حسابات AWS التي تم إغلاقها وفي انتظار حذفها من المنظمة. قم بتطبيق سياسات التحكم في الخدمة على هذه الوحدة التنظيمية التي ترفض جميع الإجراءات. وتأكد من وضع علامات على الحسابات تتضمن تفاصيل التتبع إذا كانت بحاجة إلى الاستعادة.
  • مستخدمو الأعمال من الأفراد: وحدة تنظيمية بوصول محدود تحتوي على حسابات AWS لمستخدمي الأعمال (ليس المطورين) الذين قد يحتاجون إلى إنشاء تطبيقات متعلقة بإنتاجية الأعمال، على سبيل المثال إعداد حاوية S3 لمشاركة التقارير أو الملفات مع شريك.
  • الاستثناءات: تتضمن حسابات AWS المُستخدمة في حالات استخدام الأعمال التي تحتاج إلى متطلبات أمان أو تدقيق مخصصة للغاية وتختلف عن المتطلبات المحددة في الوحدة التنظيمية لأعباء الأعمال. فعلى سبيل المثال، الحاجة إلى إعداد حساب AWS خصيصًا لتطبيق أو ميزة سرية جديدة. واستخدم سياسات التحكم في الخدمة (SCP) على مستوى الحساب لتلبية الاحتياجات المخصصة. ضع في اعتبارك إعداد نظام الكشف والتفاعل باستخدام قواعد AWS Config وCloudWatch Events.
  • عمليات التعيين: تحتوي على حسابات AWS المخصصة لعمليات تعيين التكامل المستمر (CI)/التسليم المستمر (CD). يمكنك إنشاء هذه الوحدة التنظيمية إذا كان لديك نموذج إدارة وتشغيل مختلف لعمليات تعيين التكامل المستمر/التسليم المستمر مقارنة بالحسابات في الوحدات التنظيمية لأعباء الأعمال (الإنتاج ودورة حياة تطوير البرمجيات). يساعد توزيع التكامل المستمر/التسليم المستمر في تقليل الاعتماد التنظيمي على بيئة التكامل المستمر/التسليم المستمر المشتركة التي يديرها فريق مركزي. وبالنسبة لكل مجموعة من حسابات AWS لدورة حياة تطوير البرمجيات/الإنتاج خاصة بتطبيق في الوحدة التنظيمية لأعباء الأعمال، أنشئ حسابًا للتكامل المستمر/التسليم المستمر ضمن الوحدة التنظيمية لعمليات التعيين.
  • المرحلة الانتقالية: يتم استخدام ذلك كمنطقة تخزين مؤقتة للحسابات وأعباء الأعمال الحالية قبل نقلها إلى المناطق القياسية في منظمتك. وقد يرجع ذلك إلى أن الحسابات تمثل جزءًا من عملية استحواذ كانت تديرها مسبقًا جهة خارجية، أو حسابات قديمة من هيكل تنظيمي قديم. 
Product-Page-Diagram_Organizational

الخاتمة

تساعدك إستراتيجية الحسابات المتعددة المُصممة جيدًا في الابتكار بشكل أسرع في AWS مع ضمان تلبية احتياجاتك المتعلقة بالأمان وقابلية التوسع. ويمثل إطار العمل الموضح في هذه الصفحة أفضل ممارسات AWS التي يتعين عليك استخدامها كنقطة انطلاق لبدء رحلتك مع استخدام نظام AWS.

Product-Page-Diagram_Organizational-Foundational-Units

لبدء الاستخدام، يرجى الرجوع إلى دليل البدء في AWS Organizations لإنشاء بيئة AWS متعددة الحسابات خاصة بك. وبدلاً من ذلك، يمكنك استخدام AWS Control Tower لمساعدتك في إعداد بيئة AWS أولية آمنة سريعًا ببضع نقرات.

الموارد الإضافية