En iyi uygulama olarak AWS ortamınızı oluşturma

AWS, en esnek ve güvenli bulut ortamını sağlamanın yanı sıra daha hızlı deneme, inovasyon ve ölçeklendirme imkanı sunar. AWS hesabı, AWS'nin uygulamalarınızı güvende tutmak için kullandığı önemli araçlardan biridir. Bir AWS hesabı, AWS kaynaklarınız için doğal olarak güvenlik, erişim ve faturalama sınırları sağlar ve hem kaynak bağımsızlığı hem de kaynak yalıtımı elde etmenize olanak tanır. Örneğin hesabınız dışındaki kullanıcıların varsayılan olarak kaynaklarınıza erişim izni bulunmaz. Benzer şekilde, tükettiğiniz AWS kaynaklarının maliyeti hesabınıza yansıtılır. Her ne kadar AWS yolculuğunuza tek bir hesapla başlayabilecek olsanız da iş yükleriniz büyüdükçe ve karmaşık bir hâl aldıkça AWS birden çok hesap oluşturmanızı önerir. Çok hesaplı bir ortam kullanmak, birkaç avantajı beraberinde getiren bir AWS en iyi uygulamasıdır:

• Çeşitli gerekliliklerle hızlı inovasyon: Hızla inovasyon yapmalarına imkan tanımak ve kendi güvenlik gerekliliklerini karşılamalarına izin vermek için şirketinizdeki farklı ekiplere, projelere veya ürünlere AWS hesapları tahsis edebilirsiniz.
• Daha kolay faturalama: Birden çok AWS hesabı kullanmak, belirli bir AWS ücretinin hangi ürün veya hizmet kaleminden kaynaklandığını tespit etmenize yardımcı olarak AWS maliyetlerini tahsis etmenizi kolaylaştırır.
• Esnek güvenlik denetimleri: Belirli güvenlik gereklilikleri bulunan ya da HIPAA veya PCI gibi katı uygunluk kılavuzlarının gerekliliklerini yerine getirmesi gereken iş yüklerini ya da uygulamaları yalıtmak için birden fazla AWS hesabı kullanabilirsiniz.
• İş süreçlerine kolayca uyum sağlar: Birden fazla AWS hesabını operasyona, mevzuata ve bütçeye yönelik farklı gerekliliklere tabi şirket iş süreçlerinizin çeşitli ihtiyaçlarını en iyi yansıtacak şekilde kolayca düzenleyebilirsiniz.

Çok hesaplı bir AWS ortamı nihayetinde, bulutu kullanarak daha hızlı hareket etmenize, ayırt edilebilen ürün ve hizmetler oluşturmanıza ve üstelik tüm bunları güvenli, ölçeklenebilir ve esnek bir şekilde gerçekleştirmenize olanak sağlar. Peki çok hesaplı AWS ortamınızı nasıl oluşturmalısınız? Ne tür bir hesap yapısı kullanmanız, hangi politika ve korumaların uygulanması veya ortamınızı denetim için nasıl ayarlamanız gerektiği gibi konularda sorularınız olabilir.

Bu kılavuzun geri kalanında, AWS tarafından önerilen şekilde güvenli ve verimli bir çok hesaplı AWS ortamı (genellikle "landing zone" olarak anılır) oluşturmakla ilgili konular ele alınacaktır. Bu ortam, ilk çerçeveyi oluşturmak için kullanılabilecek en iyi uygulamaları temsil eder ve AWS iş yükleriniz zaman içinde arttıkça esneklik sağlar.

İyi tasarlanmış çok hesaplı AWS ortamının temelinde, birden fazla hesabı tek bir merkezden yönetmenize ve kontrol etmenize olanak tanıyan bir AWS hizmeti olan AWS Organizations bulunur. Başlamadan önce birkaç terimi öğrenelim. Kurumsal birim (OU), AWS kuruluşunuzdaki hesapların mantıksal bir grubunu temsil eder. OU'lar hesaplarınızı hiyerarşi içinde düzenlemenize olanak sağlar ve yönetim denetimlerini uygulamanızı kolaylaştırır. Bu denetimleri uygulamak için AWS Organizations politikalarını kullanırsınız. Hizmet Denetim Politikası (SCP), kuruluşunuzdaki hesapların gerçekleştirebileceği Amazon EC2 Run Instance gibi AWS hizmet eylemlerini tanımlayan bir politikadır.

İlk olarak, hangi hesap gruplarını veya OU'ları oluşturacağınızı düşünün. OU'larınız, şirketinizin raporlama yapısını bire bir yansıtmak yerine işlevi veya bir dizi ortak denetimi temel almalıdır. AWS, sürece güvenlik ve altyapıyı göz önünde bulundurarak başlamanızı önerir. Çoğu işletmede bu ihtiyaçlar doğrultusunda tüm kuruluşa hizmet veren merkezi ekipler bulunur. Dolayısıyla, aşağıdaki belirli işlevler için bir dizi temel OU oluşturmanızı öneririz:

• Altyapı: Ağ iletişimi ve BT hizmetleri gibi paylaşılan altyapı hizmetleri için kullanılır. Gerek duyduğunuz her bir altyapı hizmeti türü için hesaplar oluşturun.
• Güvenlik: Güvenlik hizmetleri için kullanılır. Günlük arşivleri, güvenlik salt okuma erişimi, güvenlik araçları ve acil durumda yönetici erişimi için hesaplar oluşturun.

Çoğu şirket, üretim iş yükleri için farklı politika gerekliliklerine sahip olduğundan, altyapı ve güvenlik, üretim dışı (SDLC) ve üretim (Prod) için iç içe geçmiş OU'lara sahip olabilir. SDLC OU'daki hesaplar, üretim dışı iş yüklerini barındırır ve dolayısıyla diğer hesaplarla üretim bağımlılıkları bulunmamalıdır. Yaşam döngüsü aşamaları arasında OU politikalarında değişkenlikler varsa SDLC birden çok OU'ya (ör. geliştirme ve üretim öncesi) bölünebilir. Prod OU'daki hesaplar, üretim iş yüklerini barındırır.

Prod ve SDLC ortamını gereklilikleriniz doğrultusunda yönetmek için OU düzeyinde politikalar uygulayın. Genel olarak, OU düzeyinde politikalar uygulamak, politika yönetimini ve tüm potansiyel sorun giderme süreçlerini basitleştirmesi nedeniyle, tek tek hesap düzeyinde politikalar uygulamaktan daha iyi bir uygulamadır.

Merkezi hizmetler uygulamaya konulduktan sonra doğrudan ürün veya hizmetlerinizin oluşturulması ya da çalıştırılmasıyla ilgili OU'lar oluşturmanızı öneririz. Birçok AWS müşterisi, temeli kurduktan sonra bu OU'ları oluşturmaktadır.

• Sandbox: Geliştiricilerin, AWS Hizmetleri ile denemeler yapmak için kullanabileceği AWS hesaplarını barındırır. Bu hesapların dahili ağlardan ayrılabileceğinden emin olun ve aşırı kullanımı önlemek amacıyla harcamaları sınırlandıracak bir süreç oluşturun.
• İş yükleri: Dışarıya dönük uygulama hizmetlerinizi barındıran AWS hesaplarını içerir. Üretim iş yüklerini yalıtmak ve sıkı denetim altında tutmak için OU'ları SDLC ve Prod ortamları altında (temel OU'lara benzer şekilde) yapılandırmalısınız.
  

Şimdi hem temel hem de üretim odaklı OU'lar oluşturulduğuna göre, özel ihtiyaçlarınıza bağlı olarak bakım ve sürekli genişleme için ilave OU'lar eklemenizi öneririz. Aşağıda mevcut AWS müşterilerinin uygulamalarını temel alan bazı genel hesap grupları açıklanmıştır:

• Politika Hazırlama: Önerilen politika değişikliklerini kuruluş genelinde uygulamadan önce test edebileceğiniz AWS hesaplarını barındırır. Değişiklikleri hedeflenen OU'da hesap düzeyinde uygulayarak başlayın ve yavaşça diğer hesaplara, OU'lara ve kuruluşun geri kalanına ilerleyin.
• Askıya Alınmış: Kapatılan ve kuruluştan silinmeyi bekleyen AWS hesaplarını içerir. Bu OU'ya tüm eylemleri reddeden bir SCP ekleyin. Hesapların geri yüklenmesi gerekiyorsa izlenebilirliğe yönelik ayrıntılarla etiketlendiklerinden emin olun.
• İş Kullanıcıları: İş üretkenliğiyle ilgili uygulamalar oluşturması (örneğin bir çözüm ortağıyla rapor veya dosya paylaşımı için bir S3 klasörü oluşturmak) gerekebilecek iş kullanıcıları (geliştiriciler dışında) için AWS hesaplarını içeren bir sınırlı erişim OU'su.
• Özel Durumlar: İş Yükleri OU'sunda tanımlananlardan farklı, yüksek düzeyde özelleştirilmiş güvenlik veya denetim gerekliliklerine sahip iş kullanım örnekleri için kullanılan AWS hesaplarını barındırır. Örneğin gizli bir yeni uygulama veya özellik için özel olarak bir AWS hesabı oluşturulması. Özelleştirilmiş ihtiyaçları karşılamak için hesap düzeyinde SCP'leri kullanın. CloudWatch Events ve AWS Config Rules'u kullanarak bir Algılama ve Müdahale Etme sistemi oluşturmayı düşünün.
• Dağıtımlar: CI/CD dağıtımlarına yönelik AWS hesaplarını içerir. İş Yükleri OU'larındaki (Prod ve SDLC) hesaplara kıyasla farklı bir yönetişim ve operasyon modeline sahipseniz CI/CD dağıtımları için bu OU'yu oluşturabilirsiniz. CI/CD dağıtımı, kuruluşun merkezi bir ekip tarafından işletilen ortak bir CI/CD ortamına bağımlılığının azaltılmasına yardımcı olur. İş Yükleri OU'sundaki bir uygulamaya yönelik her bir SDLC/Prod AWS hesap kümesi için, Dağıtımlar OU'su altında CI/CD için bir hesap oluşturun.
  
• Geçici: Bu alan, kuruluşunuzun standart alanlarına taşınmadan önce mevcut hesapları ve iş yüklerini geçici olarak tutmak için kullanılır. Bunun nedeni, hesapların bir tedarikin parçası olması, daha önce üçüncü bir tarafça yönetilmesi veya eski bir kuruluş yapısına ait eski hesaplar olması olabilir. 
  

İyi tasarlanmış bir çoklu hesap stratejisi, AWS'de daha hızlı inovasyon yapmanıza yardımcı olur, güvenlik ve ölçeklenebilirlik ihtiyaçlarınızı karşılamanızı sağlar. Bu sayfada açıklanan çerçeve, AWS yolculuğunuzda başlangıç noktası olarak kullanmanız gereken AWS en iyi uygulamalarını temsil etmektedir.

Başlarken, kendi çok hesaplı AWS ortamınızı oluşturmak için AWS Organizations Kullanmaya Başlama Kılavuzu'na bakın. Alternatif olarak, birkaç tıklamayla güvenli ilk AWS ortamını hızlıca oluşturmanıza yardımcı olacak AWS Control Tower'ı da kullanabilirsiniz.

• Teknik inceleme: AWS Ortamınızı Düzenleme
• Blog makalesi: "Best practices for Organizational Units with AWS Organizations"
• Blog makalesi: "Governance, risk, and compliance when establishing your cloud presence"
• AWS re:Invent 2019: Architecting security & governance across your landing zone (SEC325) YouTube veya slaytlar
• AWS Organizations için SSS, belgeler ve API başvurusu
• AWS Control Tower için SSS ve belgeler