À quoi sert cette solution AWS ?

La solution Landing Zone Accelerator on AWS déploie une fondation cloud conçue pour s'aligner sur les bonnes pratiques d'AWS et les multiples cadres de conformité mondiaux. Grâce à cette solution, les clients ayant des charges de travail très réglementées et des exigences de conformité complexes peuvent mieux gérer et administrer leur environnement multi-comptes. Utilisé conjointement avec d'autres services AWS, elle offre une solution complète à faible code pour plus de 35 services AWS. Actuellement, nous incluons des notes spécifiques concernant l'utilisation de cette solution pour permettre l'alignement avec :

  • Les directives Fédérales et du Département de la Défense (DoD) des États-Unis (US)
  • Directives du National Cyber Security Centre (NCSC) du Royaume-Uni (UK)
  • Les directives relatives aux soins de santé pour diverses zones géographiques (par exemple, la loi Health Insurance Portability and Accountability Act de 1996 [HIPAA])
 
Remarque : cette solution ne rend pas, à elle seule, votre environnement conforme. Elle fournit l'infrastructure de base sur laquelle d'autres solutions gratuites peuvent être intégrées.

Avantages

Support

Prise en charge par AWS Support en fonction de votre programme d'assistance.

Automatisation

Configure automatiquement un environnement cloud adapté pour héberger des charges de travail sécurisées. Vous pouvez déployer cette solution dans toutes les régions AWS. Cela vous aide à maintenir la cohérence de vos opérations et de votre gouvernance dans les régions standard AWS, AWS GovCloud (US) et d'autres partitions non standard dans AWS.

Sécurité des données

Déployez la solution dans une région AWS adaptée à la classification de vos données et utilisez Amazon Macie pour assurer la détection des données sensibles dans Amazon S3. Cette solution vous aide également à déployer, exploiter et administrer une stratégie de chiffrement gérée de manière centralisée à l'aide d'AWS KMS.

Base pour la conformité

Tirez parti d'une infrastructure de base pour le déploiement de charges de travail critiques dans un environnement multi-comptes géré de manière centralisée.

Présentation de la solution AWS

Le diagramme ci-dessous représente l'architecture que vous pouvez automatiquement déployer à l'aide du guide d'implémentation de la solution et du modèle AWS CloudFormation qui l'accompagne.

Architecture de Landing Zone Accelerator on AWS

Cette solution comprend un modèle AWS CloudFormation que vous déployez dans le compte que vous voulez utiliser comme compte de gestion pour votre environnement multi-comptes.

  1. Vous utilisez AWS CloudFormation pour installer la solution dans votre environnement. Votre environnement doit répondre à des conditions préalables avant de déployer la solution. Le modèle CloudFormation fourni déploiera AWS CodePipeline contenant le moteur d'installation de Landing Zone Accelerator on AWS.
  2. Le pipeline d'installation déploie les fonctions de base de la solution. Comme ce programme d'installation fonctionne séparément de l'infrastructure de la solution de base, vous pouvez mettre à jour les versions futures de la solution avec un seul paramètre via la console AWS CloudFormation.
  3. Un projet AWS CodeBuild fonctionne comme un moteur d'orchestration pour créer et exécuter l'application AWS CDK de la solution qui déploie le modèle de base AWSAccelerator-PipelineStack et ses dépendances associées.
  4. La solution déploie des rubriques Amazon Simple Notification Service (Amazon SNS) auxquelles vous pouvez vous abonner pour recevoir des alertes sur les événements du pipeline de base, ce qui peut augmenter l'observabilité de vos opérations du pipeline de base. En outre, la solution déploie deux clés gérées par le client AWS Key Management Service (AWS KMS) pour gérer le chiffrement au repos des dépendances de l'installateur et du pipeline de base. 
  5. Le pipeline de base valide et synthétise les entrées et déploie des piles CloudFormation supplémentaires avec AWS CDK. Un référentiel AWS CodeCommit nommé aws-accelerator-config stocke les fichiers de configuration utilisés par la solution. Ces fichiers de configuration constituent le principal mécanisme de configuration et de gestion de la solution.
  6. Un projet AWS CodeBuild compile et valide la configuration de l'application AWS CDK de la solution.
  7. Plusieurs étapes de déploiement AWS CodeBuild déploient les ressources qui ont été définies dans les fichiers de configuration de la solution dans votre environnement multi-comptes. Une étape facultative de révision manuelle peut être incluse, vous permettant de visualiser toutes les modifications que ces étapes appliqueront.
  8. La solution déploie des ressources qui surveillent les événements du cycle de vie d'AWS Control Tower pour détecter les dérives potentielles par rapport à un bon état connu (en d'autres termes, lorsque la configuration réelle d'une ressource d'infrastructure diffère de sa configuration prévue). La solution déploie également des ressources qui peuvent automatiser l'inscription de nouveaux comptes AWS dans votre environnement multi-comptes. En cas d'utilisation d'AWS Control Tower avec cette solution, assurez-vous que les comptes et les unités d'organisation (UO) de votre environnement AWS Control Tower sont correctement inscrits. Vous pouvez gérer cela via la console AWS Control Tower.
  9. La solution déploie des ressources de journalisation centralisées dans le compte « Log Archive » dans votre environnement multi-comptes. Cela inclut les ressources Amazon Kinesis pour diffuser et ingérer les journaux, les clés AWS KMS pour faciliter le chiffrement au repos, et les compartiments Amazon Simple Storage Service (Amazon S3) comme destinations de stockage des journaux.
  10. Vous pouvez inscrire et approvisionner des comptes de charge de travail dans votre environnement multi-comptes avec une infrastructure supplémentaire via les fichiers de configuration de la solution. Au minimum, les nouveaux comptes sont dotés de ressources qui facilitent la diffusion des groupes de journaux Amazon CloudWatch vers l'infrastructure de journalisation centralisée dans le compte « Log Archive ».

 

Landing Zone Accelerator on AWS

Version 1.2.1
Date de publication : 10/2022
Auteur : AWS

Estimation du temps de déploiement : 50 min

Estimation du coût  Code source  Modèle CloudFormation 
Cliquez sur le bouton ci-dessous pour vous abonner aux mises à jour de cette mise en oeuvre des solutions.
Remarque : pour vous abonner aux mises à jour RSS, vous devez activer un plug-in RSS pour le navigateur que vous utilisez.
Cette implémentation de solutions vous a-t-elle été utile ?
Donner mon avis 
Icône Créer
Déployez vous-même une solution AWS

Parcourez notre bibliothèque de solutions AWS pour obtenir des réponses aux problèmes architecturaux courants.

En savoir plus 
Trouver un partenaire APN
Trouvez une solution Partenaire AWS

Trouvez des partenaires AWS certifiés pour vous aider à démarrer.

En savoir plus 
Icône Explorer
Explorer les conseils

Trouvez des diagrammes d'architecture prescriptifs, des exemple de code et du contenu technique pour les cas d'utilisation courants.

En savoir plus