Quel est l’intérêt d’implémenter cette solution AWS ?

AWS Landing Zone est une solution qui aide les clients à configurer plus rapidement un environnement AWS multi-comptes en suivant les bonnes pratiques AWS. La mise en place d'un environnement multi-comptes peut prendre beaucoup de temps, impliquer la configuration de plusieurs comptes et services, et exiger une compréhension approfondie des services AWS en raison du grand nombre de choix de conception.

Cette solution peut vous aider à gagner du temps notamment grâce à l'automatisation de la configuration d'un environnement d'exécution de charges de travail sûres et scalables couplée à la mise en œuvre d'une référence de sécurité initiale par la création de comptes et ressources de base. Il fournit également un environnement de base pour démarrer avec une architecture multi-comptes, identity and access management, la gouvernance, la sécurité des données, la conception du réseau et la journalisation.

Cette solution utilise la version plus à jour de l’environnement d’exécution Node.js. La version 2.3 utilise l’environnement d’exécution Node.js 8.10, qui arrive en fin de vie le 31 décembre 2019. Pour effectuer la mise à niveau vers la dernière version, vous pouvez mettre à jour la pile.  

AWS Landing Zone

Version 2.4
Dernière mise à jour : 05/2020
Auteur : AWS

Cette solution est fournie par des architectes de solutions AWS ou des consultants d'AWS Professional Services pour créer une base de référence personnalisée de comptes AWS, de réseaux et de stratégies de sécurité.

Utilisez le bouton ci-dessous pour vous abonner aux mises à jour de la solution.

Remarque : pour vous abonner aux mises à jour RSS, vous devez activer un plug-in RSS pour le navigateur que vous utilisez.  

Présentation de l’implémentation de la solution AWS

La solution AWS Landing Zone déploie un produit AWS AVM (Account Vending Machine) pour allouer et configurer automatiquement de nouveaux comptes. L'AVM tire parti d'AWS Single Sign-On (SSO) pour gérer les accès aux comptes utilisateur. Cet environnement peut-être personnalisé afin de permettre aux clients de mettre en œuvre leurs propres références de compte en configurant Landing Zone et un pipeline de mise à jour.

  • Structure multicomptes
  • Account Vending Machine
  • Accès utilisateur
  • Notifications
  • Structure multicomptes
  • La solution AWS Landing Zone comprend quatre comptes et des produits complémentaires pouvant être déployés à l'aide de AWS Service Catalog, notamment la solution de journalisation centralisée, AWS Managed AD et Directory Connector for AWS SSO.

    aws-landing-zone-architecture
     Cliquez pour agrandir
    Compte AWS Organization

    AWS Landing Zone est déployé dans un compte AWS Organizations. Ce compte est utilisé pour gérer la configuration et l'accès aux comptes gérés AWS Landing Zone. Le compte AWS Organizations offre la possibilité de créer et de gérer financièrement des comptes membres. Il contient la configuration d'AWS Landing Zone, le compartiment et pipeline d'Amazon Simple Storage Service (Amazon S3), les StackSets de configuration de compte, les politiques de contrôle des services d'AWS Organizations (SCP) et la configuration d'AWS Single Sign-On (SSO).

    Compte de services partagés

    Le compte de services partagés est une référence pour la création de services d'infrastructure partagés tels que les services d'annuaire. Par défaut, ce compte héberge l'intégration AWS Managed Active Directory pour AWS SSO dans un Amazon Virtual Private Cloud (Amazon VPC) partagé qui peut être automatiquement associé aux nouveaux comptes AWS créés avec l'Account Vending Machine (AVM).

    Compte d'archivage des journaux

    Ce compte contient un compartiment central Amazon S3 permettant de stocker les copies de tous les fichiers journaux AWS CloudTrail et AWS Config dans un compte d'archivage des journaux.

    Sécurité du compte

    Le compte de sécurité crée des rôles entre compte d'auditeur (lecture seule) et administrateur (accès complet) d'un compte de sécurité vers tous les comptes AWS Landing Zone gérés. Ces rôles doivent être utilisés par l'équipe de sécurité et de conformité de l'entreprise pour auditer ou effectuer des opérations de sécurité d'urgence en cas d'incident.

    Ce compte est également appelé comme compte Amazon GuardDuty. Les utilisateurs du compte principal peuvent configurer GuardDuty et visualiser puis gérer les résultats de GuardDuty pour leur propre compte et tous leurs comptes membres.

  • Account Vending Machine
  • L'Account Vending Machine (AVM) est un compte essentiel d'AWS Landing Zone. L'AVM est fourni comme produit AWS Service Catalog qui permet aux clients de créer des comptes AWS dans des unités d'organisation (UO) préconfigurées avec une référence de sécurité de compte et un réseau prédéfini.

    aws-landing-zone-account-vending-machine
     Cliquez pour agrandir

    AWS Landing Zone exploite AWS Service Catalog pour autoriser a) les administrateurs à créer et gérer les produits AWS Landing Zone et b) les utilisateurs finaux à lancer et gérer les produits AVM.

    L'AVM utilise des contraintes de lancement pour permettre aux utilisateurs finaux de créer des comptes sans avoir besoin d'autorisations accordées par des administrateurs de comptes.

  • Accès utilisateur
  • La fourniture d'un accès utilisateur individuel avec le moins de privilèges à vos comptes AWS est un composant essentiel de la gestion des comptes AWS. La solution AWS Landing Zone offre aux clients deux options pour stocker leurs utilisateurs et leurs groupes.

    aws-landing-zone-user-access
     Cliquez pour agrandir
    SSO avec l'annuaire AWS SSO

    La configuration par défaut déploie AWS Single Sign-On (SSO) avec l'annuaire AWS SSO où les utilisateurs et les groupes peuvent être gérés dans SSO.

    Un point de terminaison de connexion unique est créé pour fédérer l'accès des utilisateurs aux comptes AWS.

  • Notifications
  • La solution AWS Landing Zone configure la fonctionnalité alarmes et événementsd'Amazon CloudWatch en vue de l'envoi d'une notification en cas d'événements tels que la connexion au compte racine, les échecs de connexion à la console, les échecs d'authentification d'API, et les modifications suivantes au sein d'un compte : groupes de sécurité, listes ACL de réseau, passerelles Amazon VPC, connexions de peering, état d'instance ClassicLink, Amazon Elastic Compute Cloud (Amazon EC2), état d'instance Amazon EC2 large, stratégies AWS CloudTrail, AWS Identity and Access Management et état de conformité aux règles AWS Config.

    aws-landing-zone-notifications
     Cliquez pour agrandir

    La solution configure chaque compte pour qu'il envoie des notifications à une rubrique Amazon Simple Notification Service (Amazon SNS) locale.

    La rubrique « All Configuration Events » (Tous les événements de configuration) regroupe les notifications AWS CloudTrail et AWS Config de tous les comptes gérés.

    La rubrique « Aggregate Security Notifications » (Notifications de sécurité agrégées) regroupe les notifications de sécurité provenant d'Amazon CloudWatch events spécifiques, d'événements de changement d'état de conformité aux règles AWS Config et les résultats d'AWS GuardDuty.

    Une fonction AWS Lambda est automatiquement abonnée à la rubrique des notifications de sécurité pour transmettre toutes les notifications à une rubrique d'agrégation Amazon SNS dans le compte AWS Organizations.

    Cette architecture est conçue pour permettre aux administrateurs locaux de s'abonner et de recevoir des notifications de compte spécifiques.

Référence de sécurité

La solution AWS Landing Zone comprend une référence de sécurité initiale qui peut être utilisée comme point de départ pour établir et mettre en œuvre une référence de sécurité de compte personnalisée pour votre organisation. La référence de sécurité initiale comprend les paramètres par défaut suivants :

AWS CloudTrail

Un journal de suivi CloudTrail est créé dans chaque compte et configuré pour envoyer des journaux à un compartiment Amazon Simple Storage Service (Amazon S3) géré de manière centralisée dans le compte d'archivage des journaux, et à AWS CloudWatch Logs dans le compte local pour les opérations locales (avec une stratégie de conservation de groupe de journaux de 14 jours).

AWS Config

AWS Config est activé, et les fichiers journaux de configuration de compte sont stockés dans un compartiment Amazon S3 géré de manière centralisée dans le compte d'archivage des journaux.

Règles AWS Config

Les règles AWS Config sont activées pour la surveillance a) du chiffrement du stockage (Amazon Elastic Block Store, Amazon S3 et Amazon Relational Database Service), b) de la stratégie de mot de passe AWS Identity and Access Management (IAM), c) de multi-factor authentication (MFA) du compte racine, d) de la lecture et de l'écriture publics Amazon S3 et e) des règles de groupe de sécurité non sécurisés.

AWS Identity and Access Management

AWS Identity and Access Management est utilisé pour configurer une stratégie de mot de passe IAM.

Accès entre comptes

L'accès entre comptes est utilisé pour configurer l'accès administratif d'audit et de sécurité d'urgence aux comptes AWS Landing Zone à partir du compte de sécurité.

Amazon Virtual Private Cloud (VPC)

Un Amazon VPC configure le réseau initial pour un compte. Cela inclut la suppression du VPC par défaut dans toutes les régions, le déploiement du type de réseau demandé par AVM et l'appairage réseau avec le VPC des services partagés, le cas échéant.

Notifications AWS Landing Zone

Des alarmes et des événements Amazon CloudWatch sont configurés pour envoyer une notification pour la connexion au compte racine, les échecs de connexion à la console et les échecs d'authentification d'API dans un compte.

Amazon GuardDuty

Amazon GuardDuty est configuré pour afficher et gérer les résultats GuardDuty dans le compte membre.
Icône Créer
Déployer vous-même votre solution

Parcourez notre bibliothèque des implémentations des solutions AWS pour obtenir des réponses aux problèmes d'architecture courants.

En savoir plus 
Rechercher un partenaire APN
Rechercher un partenaire APN

Trouvez des partenaires consultants et technologiques certifiés AWS pour vous aider à commencer.

En savoir plus 
Icône Explorer
Explorer les offres de conseil pour les solutions AWS

Parcourez notre portefeuille d'offres de conseil pour obtenir une aide approuvée AWS au déploiement de solutions.

En savoir plus