Thiết lập môi trường AWS thực tiễn tốt nhất

AWS cho phép bạn thử nghiệm, đổi mới và mở rộng quy mô nhanh hơn, đồng thời cung cấp môi trường đám mây linh hoạt và an toàn nhất. Tài khoản AWS là một phương tiện quan trọng mà AWS dùng để đảm bảo tính bảo mật cho các ứng dụng. Tài khoản AWS cung cấp giới hạn bảo mật, truy cập và thanh toán tự nhiên cho các tài nguyên AWS của bạn, đồng thời cho phép bạn đạt được sự độc lập và cô lập về tài nguyên. Ví dụ: Người dùng bên ngoài tài khoản của bạn không có quyền truy cập vào tài nguyên của bạn theo mặc định. Tương tự, chi phí tài nguyên AWS mà bạn sử dụng được phân bổ vào tài khoản của bạn. Mặc dù bạn có thể bắt đầu hành trình AWS của mình với một tài khoản, AWS khuyên bạn nên thiết lập nhiều tài khoản khi khối lượng công việc của bạn ngày càng tăng về quy mô và độ phức tạp. Việc sử dụng môi trường nhiều tài khoản là phương pháp tốt nhất của AWS. Bạn sẽ nhận được một số lợi ích như:

• Đổi mới nhanh chóng với các yêu cầu khác nhau – Bạn có thể phân bổ các tài khoản AWS cho các nhóm, dự án hoặc sản phẩm khác nhau trong công ty để đảm bảo rằng mỗi nhóm có thể đổi mới một cách nhanh chóng trong khi vẫn hỗ trợ các yêu cầu bảo mật của riêng họ.
• Thanh toán đơn giản – Việc sử dụng nhiều tài khoản AWS sẽ đơn giản hóa cách bạn phân bổ chi phí AWS bằng việc giúp xác định dòng sản phẩm hoặc dịch vụ nào làm phát sinh phí AWS.
• Các biện pháp kiểm soát bảo mật linh hoạt – Bạn có thể sử dụng nhiều tài khoản AWS để cô lập khối lượng công việc hoặc ứng dụng có yêu cầu bảo mật cụ thể hoặc cần đáp ứng các nguyên tắc nghiêm ngặt về tuân thủ như HIPAA hoặc PCI.
• Dễ dàng thích ứng với các quy trình kinh doanh – Bạn có thể dễ dàng sắp xếp nhiều tài khoản AWS theo cách phản ánh tốt nhất nhu cầu đa dạng của các quy trình kinh doanh của công ty có các yêu cầu khác nhau về hoạt động, quy định và ngân sách.

Cuối cùng, môi trường AWS nhiều tài khoản cho phép bạn sử dụng đám mây để di chuyển nhanh hơn và xây dựng các sản phẩm cũng như dịch vụ khác biệt, trong khi vẫn đảm bảo sự an toàn, tính linh hoạt và khả năng mở rộng. Tuy nhiên, bạn nên xây dựng môi trường AWS nhiều tài khoản theo cách nào? Bạn có thể có các câu hỏi như nên sử dụng cấu trúc tài khoản nào, nên thực hiện những chính sách và hàng rào bảo vệ nào hoặc cách thiết lập môi trường kiểm tra như thế nào.

Phần còn lại của hướng dẫn này sẽ giới thiệu cho bạn các yếu tố trong việc xây dựng một môi trường AWS nhiều tài khoản an toàn và hiệu quả, thường được gọi là “vùng đích”, theo khuyến nghị của AWS. Môi trường này đại diện cho các phương pháp tốt nhất có thể được sử dụng để xây dựng khung ban đầu trong khi vẫn linh hoạt khi khối lượng công việc AWS của bạn tăng theo thời gian.

Cơ sở của môi trường AWS nhiều tài khoản có kiến trúc tối ưu là AWS Organizations, một dịch vụ AWS cho phép bạn quản lý và chi phối tập trung nhiều tài khoản. Trước khi bắt đầu, hãy cùng làm quen với một số thuật ngữ. Đơn vị tổ chức (OU) là một nhóm tài khoản hợp lý trong AWS Organization của bạn. Các OU cho phép bạn sắp xếp các tài khoản theo hệ thống cấp bậc và giúp bạn dễ dàng áp dụng các biện pháp kiểm soát quản lý. Chính sách AWS Organizations là những gì bạn sử dụng để áp dụng các biện pháp kiểm soát. Chính sách kiểm soát dịch vụ (SCP) là một chính sách xác định các hành động dịch vụ AWS, như Phiên bản chạy Amazon EC2, mà các tài khoản trong tổ chức của bạn có thể thực hiện.

Trước tiên, hãy cân nhắc những nhóm tài khoản hoặc OU mà bạn nên tạo. Các OU nên dựa trên chức năng hoặc tập hợp các biện pháp kiểm soát phổ biến hơn là việc phản ánh cấu trúc cấp bậc của công ty bạn. AWS khuyên bạn nên bắt đầu với bảo mật và cơ sở hạ tầng. Hầu hết các doanh nghiệp đều có các nhóm tập trung phục vụ những nhu cầu đó cho toàn bộ tổ chức. Do đó, chúng tôi khuyên bạn nên tạo một tập hợp các OU nền tảng cho các chức năng cụ thể sau:

• Cơ sở hạ tầng: Được sử dụng cho các dịch vụ cơ sở hạ tầng chung như mạng và dịch vụ CNTT. Tạo tài khoản cho từng loại dịch vụ cơ sở hạ tầng mà bạn yêu cầu.
• Bảo mật: Được sử dụng cho các dịch vụ bảo mật. Tạo tài khoản để lưu trữ nhật ký, truy cập chỉ đọc vào bảo mật, trang bị công cụ bảo mật và truy cập khẩn cấp.

Do hầu hết các công ty đều có các yêu cầu chính sách khác nhau đối với khối lượng công việc sản xuất, cơ sở hạ tầng và bảo mật có thể có các OU lồng nhau cho lĩnh vực phi sản xuất (SDLC) và sản xuất (Prod). Các tài khoản trong OU SDLC lưu trữ khối lượng công việc phi sản xuất và do đó không được có sự phụ thuộc về sản xuất từ các tài khoản khác. Nếu có sự khác biệt trong chính sách OU giữa các giai đoạn vòng đời thì SDLC có thể được chia thành nhiều OU (ví dụ: phát triển và tiền sản xuất). Các tài khoản trong OU Sản xuất sẽ lưu trữ khối lượng công việc sản xuất.

Áp dụng các chính sách ở cấp độ OU để chi phối môi trường Sản xuất và SDLC theo các yêu cầu của bạn. Nói chung, áp dụng các chính sách ở cấp độ OU là phương pháp tốt hơn so với áp dụng ở cấp độ tài khoản cá nhân vì việc này giúp đơn giản hóa hoạt động quản lý chính sách và khắc phục sự cố tiềm ẩn.

Khi đã có các dịch vụ tập trung, chúng tôi khuyên bạn nên tạo các OU có liên quan trực tiếp đến việc xây dựng hoặc vận hành các sản phẩm hoặc dịch vụ của bạn. Nhiều khách hàng AWS xây dựng các OU này sau khi thiết lập nền tảng.

• Sandbox: Chứa các tài khoản AWS mà các nhà phát triển cá nhân có thể sử dụng để thử nghiệm với các dịch vụ AWS. Đảm bảo rằng các tài khoản này có thể được tách ra khỏi mạng nội bộ và thiết lập quy trình giới hạn chi tiêu để tránh sử dụng quá mức.
• Các khối lượng công việc: Chứa các tài khoản AWS lưu trữ các dịch vụ ứng dụng dành cho bên ngoài của bạn. Bạn nên cấu trúc các OU trong môi trường SDLC và Sản xuất nền tảng (tương tự như OU nền tảng) để cô lập và kiểm soát chặt chẽ khối lượng công việc sản xuất.
  

Giờ đây, cả OU định hướng sản xuất và cơ sở đều đã được thiết lập, chúng tôi khuyên bạn nên thêm OU bổ sung để bảo trì và tiếp tục mở rộng tùy thuộc vào nhu cầu cụ thể của mình. Đây là một số chủ đề phổ biến dựa trên thực tiễn của các khách hàng AWS hiện tại:

• Giai đoạn chính sách: Chứa các tài khoản AWS nơi bạn có thể kiểm tra các thay đổi chính sách được đề xuất trước khi áp dụng rộng rãi cho tổ chức. Bắt đầu bằng cách triển khai các thay đổi ở cấp độ tài khoản trong OU dự định và dần triển khai ra các tài khoản, OU khác và trên toàn bộ tổ chức.
• Bị tạm ngưng: Chứa các tài khoản AWS đã bị đóng và đang chờ được xóa khỏi tổ chức. Đính kèm một SCP vào OU này để từ chối mọi hành động. Đảm bảo rằng các tài khoản được gắn thẻ cùng với chi tiết để truy xuất nguồn gốc nếu cần được khôi phục.
• Người dùng doanh nghiệp cá nhân: OU có quyền truy cập hạn chế chứa các tài khoản AWS dành cho người dùng doanh nghiệp (không phải nhà phát triển), những người có thể cần tạo các ứng dụng liên quan đến năng suất doanh nghiệp, chẳng hạn như thiết lập vùng lưu trữ S3 để chia sẻ báo cáo hoặc tệp với đối tác.
• Ngoại lệ: Chứa các tài khoản AWS được sử dụng cho các trường hợp sử dụng trong doanh nghiệp có yêu cầu kiểm tra hoặc bảo mật được tùy chỉnh cao, khác với các tài khoản được xác định trong OU Khối lượng công việc. Ví dụ: thiết lập tài khoản AWS dành riêng cho một ứng dụng hoặc tính năng mới bí mật. Sử dụng các SCP ở cấp độ tài khoản để đáp ứng các nhu cầu tùy chỉnh. Cân nhắc việc thiết lập hệ thống Phát hiện và phản ứng bằng cách sử dụng CloudWatch Events và Quy tắc AWS Config.
• Triển khai: Chứa các tài khoản AWS dành cho việc triển khai CI/CD. Bạn có thể tạo OU này nếu bạn có mô hình quản trị và hoạt động khác cho việc triển khai CI/CD so với các tài khoản trong OU Khối lượng công việc (Sản xuất và SDLC). Việc phân phối CI/CD giúp giảm sự phụ thuộc của tổ chức vào môi trường CI/CD chung do một nhóm tập trung vận hành. Đối với mỗi tập hợp tài khoản AWS SDLC/Sản xuất cho một ứng dụng trong OU Khối lượng công việc, hãy tạo một tài khoản cho CI/CD trong OU Triển khai.
  
• Chuyển tiếp: Được dùng làm khu vực tạm chứa các tài khoản và khối lượng công việc hiện có trước khi chuyển chúng sang các khu vực tiêu chuẩn trong tổ chức của bạn. Điều này có thể là do các tài khoản là một phần của hoạt động tiếp nhận, do bên thứ ba quản lý trước đây hoặc là các tài khoản kế thừa từ cấu trúc tổ chức cũ. 
  

Chiến lược nhiều tài khoản có kiến trúc tối ưu giúp bạn đổi mới nhanh hơn trong AWS, đồng thời đảm bảo rằng bạn đáp ứng được các nhu cầu về bảo mật và khả năng mở rộng của mình. Khung được mô tả trên trang này trình bày các phương pháp tốt nhất của AWS mà bạn nên sử dụng làm điểm khởi đầu cho hành trình AWS của mình.

Để bắt đầu, hãy tham khảo Hướng dẫn bắt đầu của AWS Organizations để xây dựng môi trường AWS nhiều tài khoản của riêng bạn. Hoặc, bạn có thể sử dụng AWS Control Tower để nhanh chóng thiết lập môi trường AWS ban đầu an toàn chỉ bằng vài thao tác nhấp chuột.

• Báo cáo: Tổ chức môi trường AWS của bạn
• Bài viết blog: “Các phương pháp tốt nhất dành cho các Đơn vị tổ chức có AWS Organizations“
• Bài viết blog: “Quản trị, rủi ro và tuân thủ khi thiết lập sự hiện diện trên đám mây của bạn”
• AWS re:Invent 2019: Kiến tạo bảo mật và quản trị trên vùng đích của bạn (SEC325) YouTube hoặc trang chiếu
• AWS Organizations Câu hỏi thường gặp, tài liệu và tham khảo API
• AWS Control Tower Câu hỏi thường gặp và tài liệu