Lindungi dan isolasi beban kerja sensitif Anda dengan enclave aman
Panduan ini menunjukkan cara Anda dapat membangun arsitektur cloud yang komprehensif untuk beban kerja yang sensitif dalam bidang keamanan nasional, pertahanan, dan penegakan hukum nasional. Dengan memanfaatkan arsitektur multi-akun di AWS, Anda dapat menyampaikan misi sambil menjaga data sensitif dan beban kerja tetap aman. Panduan ini dirancang untuk membantu Anda memenuhi persyaratan keamanan dan kepatuhan yang ketat dan unik, menangani manajemen identitas dan akses pusat, tata kelola, keamanan data, logging komprehensif, dan desain jaringan serta segmentasi yang selaras dengan berbagai kerangka kerja keamanan AS.
Perhatikan: [Penafian]
Diagram Arsitektur
-
Gambaran Umum
-
Akun Manajemen Organisasi
-
Akun Keamanan
-
Akun Infrastruktur
-
Aplikasi, Komunitas, Tim, atau Akun Grup (Sensitif)
-
Gambaran Umum
-
Diagram arsitektur ini memberikan gambaran umum tentang cara mengonfigurasi beban kerja multi-akun yang komprehensif dengan persyaratan keamanan dan kepatuhan yang unik. Untuk detail selengkapnya tentang cara menerapkan Panduan ini, buka tab lainnya.
Klik untuk memperbesar
Langkah 1
Organisasi di AWS Organizations dengan beberapa akun, dipandu oleh kebijakan kontrol layanan (SCP): Organisasi mengelompokkan beberapa akun AWS terpisah yang dikendalikan oleh satu entitas pelanggan. Akun-akun AWS terpisah menjadi isolasi bidang kontrol dan bidang data yang kuat yang memisahkan beban kerja atau lingkungan, seolah tiap akun dimiliki oleh satu pelanggan AWS.Langkah 2
Akun manajemen digunakan untuk membuat organisasi. Dari akun manajemen organisasi, Anda dapat melakukan hal berikut:- Membuat akun di organisasi dan mengelola kebijakan untuk semua unit organisasi (OU).
- Memasukkan OU berikut ke dalam organisasi:
- OU Keamanan
- OU Infrastruktur
- OU aplikasi sensitif
Setiap OU akan memiliki satu atau lebih akun anggota atau OU bertingkat, per desain.
Langkah 3
OU aplikasi akan memiliki beberapa OU bertingkat yang didedikasikan untuk pengiriman aplikasi serta manajemen siklus hidup, dan akan mencakup OU berikut:- OU Developer
- OU Uji
- OU Produk
- OU Bersama
Selain itu, OU sandbox juga dapat disediakan sebagai beban kerja yang tidak sensitif.
Langkah 1
Organisasi di AWS Organizations dengan beberapa akun, dipandu oleh kebijakan kontrol layanan (SCP): Organisasi mengelompokkan beberapa akun AWS terpisah yang dikendalikan oleh satu entitas pelanggan. Akun-akun AWS terpisah menjadi isolasi bidang kontrol dan bidang data yang kuat yang memisahkan beban kerja atau lingkungan, seolah tiap akun dimiliki oleh satu pelanggan AWS.Langkah 2
Akun manajemen digunakan untuk membuat organisasi. Dari akun manajemen organisasi, Anda dapat melakukan hal berikut:- Membuat akun di organisasi dan mengelola kebijakan untuk semua unit organisasi (OU).
- Memasukkan OU berikut ke dalam organisasi:
- OU Keamanan
- OU Infrastruktur
- OU aplikasi sensitif
Setiap OU akan memiliki satu atau lebih akun anggota atau OU bertingkat, per desain.
Langkah 3
OU aplikasi akan memiliki beberapa OU bertingkat yang didedikasikan untuk pengiriman aplikasi serta manajemen siklus hidup, dan akan mencakup OU berikut:- OU Developer
- OU Uji
- OU Produk
- OU Bersama
Selain itu, OU sandbox juga dapat disediakan sebagai beban kerja yang tidak sensitif.
-
Akun Manajemen Organisasi
-
Diagram arsitektur ini menunjukkan cara suatu organisasi dapat mengelompokkan beberapa akun yang semuanya dikendalikan oleh satu entitas pelanggan. Ikuti langkah-langkah dalam diagram arsitektur ini untuk menerapkan bagian Akun Manajemen Organisasi dari Panduan ini.
Klik untuk memperbesar
Langkah 1
Organisasi dengan beberapa akun: Organisasi mengelompokkan beberapa akun AWS terpisah yang dikendalikan oleh satu entitas pelanggan. Model ini menggabungkan penagihan, mengelompokkan akun menggunakan OU, dan memfasilitasi deployment kontrol pencegahan organisasi menggunakan SCP.Langkah 2
Kontrol keamanan preventif: Kontrol ini, diimplementasikan oleh SCP. Fungsinya melindungi arsitektur, mencegah penonaktifan pagar pembatas, dan memblokir perilaku pengguna yang tidak diinginkan. SCP menjadi mekanisme pagar pembatas yang utamanya digunakan untuk menolak salah satu atau semua kategori operasi API di akun AWS, OU, atau tingkat organisasi. SCP dapat digunakan untuk memastikan beban kerja diterapkan hanya di AWS Region yang ditentukan atau menolak akses ke layanan AWS tertentu.
Langkah 3
Otomatisasi: Otomatisasi memastikan pagar pembatas diterapkan secara konsisten saat organisasi menambahkan akun AWS baru bersamaan dengan masuknya tim dan beban kerja baru. Fungsi ini mengatasi penyimpangan kepatuhan dan menjadi pagar pembatas di akun root organisasi.
Langkah 4
Enkripsi: AWS Key Management Service (AWS KMS) dengan kunci yang dikelola pelanggan akan mengenkripsi data diam yang tersimpan menggunakan enkripsi yang divalidasi FIPS 140-2, baik dalam bucket Amazon Simple Storage Service (Amazon S3), volume Amazon Elastic Block Store (Amazon EBS), database Amazon Relational Database Service (Amazon RDS), atau layanan penyimpanan AWS lainnya. Enkripsi melindungi data bergerak menggunakan TLS 1.2 atau lebih tinggi.Langkah 5
Masuk Tunggal (SSO): Fitur AWS Identity and Access Management (IAM), IAM Identity Center digunakan sebagai penyedia kredensial peran IAM yang terpusat pada akun AWS di seluruh organisasi bagi para pengguna utama yang berwenang. Identitas organisasi yang ada dapat bersumber dari penyimpanan identitas Active Directory (AD) pelanggan yang ada atau penyedia identitas (IdP) pihak ketiga lainnya.AWS memfasilitasi penegakan autentikasi multifaktor menggunakan aplikasi autentikator, kunci keamanan, dan autentikator bawaan, mendukung autentikasi dan perangkat WebAuthn, FIDO2, dan Universal 2nd Factor (U2F).
Langkah 1
Organisasi dengan beberapa akun: Organisasi mengelompokkan beberapa akun AWS terpisah yang dikendalikan oleh satu entitas pelanggan. Model ini menggabungkan penagihan, mengelompokkan akun menggunakan OU, dan memfasilitasi deployment kontrol pencegahan organisasi menggunakan SCP.Langkah 2
Kontrol keamanan preventif: Kontrol ini, diimplementasikan oleh SCP. Fungsinya melindungi arsitektur, mencegah penonaktifan pagar pembatas, dan memblokir perilaku pengguna yang tidak diinginkan. SCP menjadi mekanisme pagar pembatas yang utamanya digunakan untuk menolak salah satu atau semua kategori operasi API di akun AWS, OU, atau tingkat organisasi. SCP dapat digunakan untuk memastikan beban kerja diterapkan hanya di AWS Region yang ditentukan atau menolak akses ke layanan AWS tertentu.
Langkah 3
Otomatisasi: Otomatisasi memastikan pagar pembatas diterapkan secara konsisten saat organisasi menambahkan akun AWS baru bersamaan dengan masuknya tim dan beban kerja baru. Fungsi ini mengatasi penyimpangan kepatuhan dan menjadi pagar pembatas di akun root organisasi.
Langkah 4
Enkripsi: AWS Key Management Service (AWS KMS) dengan kunci yang dikelola pelanggan akan mengenkripsi data diam yang tersimpan menggunakan enkripsi yang divalidasi FIPS 140-2, baik dalam bucket Amazon Simple Storage Service (Amazon S3), volume Amazon Elastic Block Store (Amazon EBS), database Amazon Relational Database Service (Amazon RDS), atau layanan penyimpanan AWS lainnya. Enkripsi melindungi data bergerak menggunakan TLS 1.2 atau lebih tinggi.Langkah 5
Masuk Tunggal (SSO): Fitur AWS Identity and Access Management (IAM), IAM Identity Center digunakan sebagai penyedia kredensial peran IAM yang terpusat pada akun AWS di seluruh organisasi bagi para pengguna utama yang berwenang. Identitas organisasi yang ada dapat bersumber dari penyimpanan identitas Active Directory (AD) pelanggan yang ada atau penyedia identitas (IdP) pihak ketiga lainnya.AWS memfasilitasi penegakan autentikasi multifaktor menggunakan aplikasi autentikator, kunci keamanan, dan autentikator bawaan, mendukung autentikasi dan perangkat WebAuthn, FIDO2, dan Universal 2nd Factor (U2F).
-
Akun Keamanan
-
Diagram arsitektur ini menunjukkan cara mengonfigurasi kumpulan log komprehensif secara terpusat di seluruh layanan dan akun AWS. Ikuti langkah-langkah dalam diagram arsitektur ini untuk menerapkan bagian Akun Keamanan dari Panduan ini.
Klik untuk memperbesar
Langkah 1
Logging terpusat: Arsitektur ini dirancang untuk pengumpulan log yang komprehensif dan sentralisasi di seluruh layanan dan akun AWS. Log AWS CloudTrail bekerja di seluruh organisasi guna memberikan auditabilitas menyeluruh terhadap bidang kontrol di seluruh lingkungan cloud.Log Amazon CloudWatch , layanan logging AWS cloud-native, digunakan untuk menangkap berbagai log termasuk log sistem operasi dan aplikasi, log aliran VPC, dan log sistem nama domain, yang kemudian dipusatkan dan hanya tersedia untuk personel keamanan tertentu.
Langkah 2
Pemantauan keamanan terpusat: Penyimpangan kepatuhan dan ancaman keamanan bermunculan di seluruh organisasi AWS pelanggan melalui deployment otomatis berbagai jenis kontrol keamanan detektif. Hal ini termasuk mengaktifkan banyak layanan keamanan AWS di setiap akun di organisasi.Layanan keamanan ini mencakup Amazon GuardDuty, AWS Security Hub, AWS Config, AWS Firewall Manager, Amazon Macie, IAM Access Analyzer, dan alarm CloudWatch. Kontrol dan visibilitas di seluruh lingkungan multi-akun harus didelegasikan ke satu akun alat keamanan pusat untuk memudahkan visibilitas terhadap semua temuan keamanan dan penyimpangan kepatuhan di seluruh organisasi.
Langkah 3
Akses hanya lihat dan fitur pencarian: Akun keamanan memiliki akses hanya lihat di seluruh organisasi (termasuk akses ke konsol CloudWatch tiap akun) guna memfasilitasi investigasi saat ada insiden.Berbeda dengan akses hanya baca, akses hanya lihat tidak menyediakan akses apa pun ke data apa pun. Tersedia Add-on opsional untuk menggunakan set komprehensif log terpusat tersebut untuk membuatnya dapat dicari, menyediakan korelasi dan dasbor dasar.
Langkah 1
Logging terpusat: Arsitektur ini dirancang untuk pengumpulan log yang komprehensif dan sentralisasi di seluruh layanan dan akun AWS. Log AWS CloudTrail bekerja di seluruh organisasi guna memberikan auditabilitas menyeluruh terhadap bidang kontrol di seluruh lingkungan cloud.Log Amazon CloudWatch , layanan logging AWS cloud-native, digunakan untuk menangkap berbagai log termasuk log sistem operasi dan aplikasi, log aliran VPC, dan log sistem nama domain, yang kemudian dipusatkan dan hanya tersedia untuk personel keamanan tertentu.
Langkah 2
Pemantauan keamanan terpusat: Penyimpangan kepatuhan dan ancaman keamanan bermunculan di seluruh organisasi AWS pelanggan melalui deployment otomatis berbagai jenis kontrol keamanan detektif. Hal ini termasuk mengaktifkan banyak layanan keamanan AWS di setiap akun di organisasi.Layanan keamanan ini mencakup Amazon GuardDuty, AWS Security Hub, AWS Config, AWS Firewall Manager, Amazon Macie, IAM Access Analyzer, dan alarm CloudWatch. Kontrol dan visibilitas di seluruh lingkungan multi-akun harus didelegasikan ke satu akun alat keamanan pusat untuk memudahkan visibilitas terhadap semua temuan keamanan dan penyimpangan kepatuhan di seluruh organisasi.
Langkah 3
Akses hanya lihat dan fitur pencarian: Akun keamanan memiliki akses hanya lihat di seluruh organisasi (termasuk akses ke konsol CloudWatch tiap akun) guna memfasilitasi investigasi saat ada insiden.
Berbeda dengan akses hanya baca, akses hanya lihat tidak menyediakan akses apa pun ke data apa pun. Tersedia Add-on opsional untuk menggunakan set komprehensif log terpusat tersebut untuk membuatnya dapat dicari, menyediakan korelasi dan dasbor dasar.
-
Akun Infrastruktur
-
Diagram arsitektur ini menunjukkan cara terbentuknya lingkungan jaringan terpusat dan terisolasi dengan Cloud Privat Virtual (VPC). Ikuti langkah-langkah dalam diagram arsitektur ini untuk menerapkan bagian Akun Infrastruktur dari Panduan ini.
Klik untuk memperbesar
Langkah 1
Jaringan terpusat dan terisolasi: VPC yang dibangun melalui Amazon Virtual Private Cloud (Amazon VPC) digunakan untuk mengisolasi bidang data di antara beban kerja, terpusat dalam satu akun jaringan bersama. Sentralisasi memfasilitasi segregasi tugas yang kuat dan pengoptimalan biaya.Langkah 2
Konektivitas yang dimediasi: Konektivitas ke lingkungan on-premise, keluar internet, sumber daya bersama, dan AWS API dimediasi di satu titik pusat masuk dan keluar melalui penggunaan AWS Transit Gateway, AWS Site-to-Site VPN, firewall generasi berikutnya, dan AWS Direct Connect (jika berlaku).Langkah 3
Opsi alternatif: Tidak semua pelanggan cocok dengan arsitektur VPC terpusat. Untuk pelanggan yang tidak memprioritaskan pengoptimalan biaya, ada opsi untuk VPC berbasis akun lokal yang terhubung melalui Gateway Transit di akun jaringan bersama pusat.
Arsitektur pada kedua opsi tersebut dirancang untuk memindahkan titik akhir API publik AWS ke ruang alamat VPC pribadi pelanggan, menggunakan titik akhir terpusat untuk efisiensi biaya.
Langkah 4
Inspeksi infrastruktur sebagai layanan (IaaS) masuk dan keluar terpusat: Umumnya beban kerja berbasis IaaS mensyaratkan masuk dan keluar yang terpusat. Arsitektur ini menyediakan fungsionalitas tersebut, sehingga pelanggan dapat memutuskan apakah layanan inspeksi firewall masuk dan keluar AWS asli, seperti AWS Network Firewall, AWS WAF, atau Penyeimbang Beban Aplikasi melalui Elastic Load Balancing (ELB) memenuhi persyaratan mereka.Jika tidak, pelanggan dapat menambahkan kemampuan tersebut dengan peralatan firewall pihak ketiga. Arsitektur ini memungkinkan pelanggan untuk memulai dengan firewall AWS kemudian beralih ke firewall pihak ketiga atau menggunakan kombinasi teknologi firewall masuk dan keluar.
Langkah 1
Jaringan terpusat dan terisolasi: VPC yang dibangun melalui Amazon Virtual Private Cloud (Amazon VPC) digunakan untuk mengisolasi bidang data di antara beban kerja, terpusat dalam satu akun jaringan bersama. Sentralisasi memfasilitasi segregasi tugas yang kuat dan pengoptimalan biaya.Langkah 2
Konektivitas yang dimediasi: Konektivitas ke lingkungan on-premise, keluar internet, sumber daya bersama, dan AWS API dimediasi di satu titik pusat masuk dan keluar melalui penggunaan AWS Transit Gateway, AWS Site-to-Site VPN, firewall generasi berikutnya, dan AWS Direct Connect (jika berlaku).Langkah 3
Opsi alternatif: Tidak semua pelanggan cocok dengan arsitektur VPC terpusat. Untuk pelanggan yang tidak memprioritaskan pengoptimalan biaya, ada opsi untuk VPC berbasis akun lokal yang terhubung melalui Gateway Transit di akun jaringan bersama pusat.
Arsitektur pada kedua opsi tersebut dirancang untuk memindahkan titik akhir API publik AWS ke ruang alamat VPC pribadi pelanggan, menggunakan titik akhir terpusat untuk efisiensi biaya.
Langkah 4
Inspeksi infrastruktur sebagai layanan (IaaS) masuk dan keluar terpusat: Umumnya beban kerja berbasis IaaS mensyaratkan masuk dan keluar yang terpusat. Arsitektur ini menyediakan fungsionalitas tersebut, sehingga pelanggan dapat memutuskan apakah layanan inspeksi firewall masuk dan keluar AWS asli, seperti AWS Network Firewall, AWS WAF, atau Penyeimbang Beban Aplikasi melalui Elastic Load Balancing (ELB) memenuhi persyaratan mereka.Jika tidak, pelanggan dapat menambahkan kemampuan tersebut dengan peralatan firewall pihak ketiga. Arsitektur ini memungkinkan pelanggan untuk memulai dengan firewall AWS kemudian beralih ke firewall pihak ketiga atau menggunakan kombinasi teknologi firewall masuk dan keluar.
-
Aplikasi, Komunitas, Tim, atau Akun Grup (Sensitif)
-
Diagram arsitektur ini menunjukkan cara mengonfigurasi segmentasi dan pemisahan di antara beban kerja yang termasuk dalam berbagai tahapan dalam siklus pengembangan perangkat lunak, atau di antara peran administrasi TI yang berbeda. Ikuti langkah-langkah dalam diagram arsitektur ini untuk menerapkan bagian Aplikasi, Komunitas, Tim, atau Akun Grup dari Panduan ini.
Klik untuk memperbesar
Langkah 1
Segmentasi dan pemisahan: Arsitektur ini tidak hanya memberikan segmentasi dan pemisahan yang kuat di antara beban kerja yang termasuk dalam berbagai tahap dalam siklus pengembangan perangkat lunak atau di antara peran administratif TI yang berbeda (seperti antara jaringan, firewall masuk dan keluar, dan beban kerja).Tersedia juga arsitektur zonasi jaringan yang kuat, melakukan segmentasi mikro lingkungan dengan membungkus setiap instans atau komponen dalam firewall kuat yang diberlakukan di perangkat keras AWS Nitro System, bersamaan dengan layanan seperti ELB dan AWS WAF.
Langkah 2
Semua aliran jaringan dijaga dengan ketat. Gerakan lateral dicegah antara aplikasi, tingkatan dalam aplikasi, dan simpul dalam tingkat aplikasi kecuali diizinkan secara eksplisit. Selain itu, routing antara OU Developer, Uji, dan Produk juga dicegah dengan rekomendasi pada arsitektur CI/CD untuk memungkinkan kelincahan bagi developer dan memudahkan promosi kode antar lingkungan dengan persetujuan yang sesuai.
Langkah 1
Segmentasi dan pemisahan: Arsitektur ini tidak hanya memberikan segmentasi dan pemisahan yang kuat di antara beban kerja yang termasuk dalam berbagai tahap dalam siklus pengembangan perangkat lunak atau di antara peran administratif TI yang berbeda (seperti antara jaringan, firewall masuk dan keluar, dan beban kerja).Tersedia juga arsitektur zonasi jaringan yang kuat, melakukan segmentasi mikro lingkungan dengan membungkus setiap instans atau komponen dalam firewall kuat yang diberlakukan di perangkat keras AWS Nitro System, bersamaan dengan layanan seperti ELB dan AWS WAF.
Langkah 2
Semua aliran jaringan dijaga dengan ketat. Gerakan lateral dicegah antara aplikasi, tingkatan dalam aplikasi, dan simpul dalam tingkat aplikasi kecuali diizinkan secara eksplisit. Selain itu, routing antara OU Developer, Uji, dan Produk juga dicegah dengan rekomendasi pada arsitektur CI/CD untuk memungkinkan kelincahan bagi developer dan memudahkan promosi kode antar lingkungan dengan persetujuan yang sesuai.
Pilar Well-Architected
Kerangka Kerja AWS Well-Architected membantu Anda memahami keuntungan dan kerugian dari keputusan yang Anda buat saat membangun sistem di cloud. Enam pilar dari Kerangka Kerja ini memungkinkan Anda mempelajari praktik terbaik arsitektur untuk merancang dan mengoperasikan sistem yang andal, aman, efisien, hemat biaya, dan berkelanjutan. Dengan Alat AWS Well-Architected yang tersedia secara gratis di Konsol Manajemen AWS, Anda dapat meninjau beban kerja dan membandingkannya terhadap praktik terbaik ini dengan menjawab serangkaian pertanyaan untuk setiap pilar.
Diagram arsitektur di atas adalah contoh Solusi yang dibuat dengan mempertimbangkan praktik terbaik Well-Architected. Untuk menjadi Well-Architected sepenuhnya, Anda harus mengikuti praktik terbaik Well-Architected sebanyak mungkin.
-
Keunggulan OperasionalBaca laporan resmi Keunggulan Operasional
Panduan ini menggunakan stack dan konfigurasi Organisasi dengan AWS CloudFormation untuk menciptakan fondasi yang aman bagi lingkungan AWS Anda. Panduan ini menyediakan solusi infrastruktur sebagai kode (IaC) yang mempercepat implementasi kontrol keamanan teknis Anda. Aturan konfigurasi memperbaiki delta konfigurasi apa pun yang telah ditentukan agar tidak berdampak negatif terhadap arsitektur yang ditentukan. Anda dapat menggunakan infrastruktur komersial global AWS untuk beban kerja rahasia yang sensitif dan mengotomatiskan sistem aman untuk mengirimkan misi dengan lebih cepat sambil terus meningkatkan proses dan prosedur Anda.
-
KeamananBaca laporan resmi Keamanan
Panduan ini menggunakan Organisasi untuk memfasilitasi deployment pagar pembatas organisasi, seperti logging API dengan CloudTrail. Panduan ini juga menyediakan kontrol pencegahan menggunakan AWS SCP preskriptif sebagai mekanisme pagar pembatas, terutama digunakan untuk menolak kategori API tertentu atau keseluruhan dalam lingkungan Anda (guna memastikan beban kerja hanya diterapkan di Region yang ditentukan) atau menolak akses ke layanan AWS tertentu. Log CloudTrail dan CloudWatch memungkinkan pengumpulan log komprehensif yang ditentukan dan sentralisasi di seluruh layanan dan akun AWS. Kemampuan keamanan AWS dan banyak layanan yang relevan dengan keamanan dikonfigurasi dalam pola yang ditentukan guna membantu Anda memenuhi berbagai persyaratan keamanan paling ketat di dunia.
-
KeandalanBaca laporan resmi Keandalan
Panduan ini menggunakan beberapa Zona Ketersediaan (AZ), sehingga hilangnya satu AZ tidak memengaruhi ketersediaan aplikasi. Anda dapat menggunakan CloudFormation untuk mengotomatiskan penyediaan dan pembaruan infrastruktur Anda dengan cara yang aman dan terkontrol. Panduan ini juga menyediakan aturan bawaan untuk mengevaluasi konfigurasi sumber daya AWS dan perubahan konfigurasi dalam lingkungan Anda. Anda juga dapat membuat aturan khusus di AWS Lambda untuk menentukan praktik dan pedoman terbaik. Anda dapat mengotomatiskan kemampuan untuk menskalakan lingkungan Anda agar memenuhi permintaan dan mengurangi gangguan seperti kesalahan konfigurasi atau masalah jaringan sementara.
-
Efisiensi PerformaBaca laporan resmi Efisiensi Performa
Panduan ini menyederhanakan manajemen infrastruktur cloud dengan memanfaatkan Gateway Transit, yang berfungsi sebagai hub pusat penghubung beberapa VPC melalui satu gateway, sehingga lebih mudah untuk menskalakan dan memelihara arsitektur jaringan. Cara ini menyederhanakan arsitektur jaringan Anda dan memfasilitasi routing lalu lintas yang efisien di antara berbagai akun AWS dalam organisasi Anda.
-
Optimisasi BiayaBaca laporan resmi Pengoptimalan Biaya
Dengan Panduan ini, Anda dapat menghindari atau memangkas biaya yang tidak diperlukan atau penggunaan sumber daya yang tidak optimal. Organisasi menyediakan penagihan terpusat dan terkonsolidasi, memfasilitasi pemisahan yang kuat antara penggunaan sumber daya dan pengoptimalan biaya. Panduan ini dirancang untuk pemindahan titik akhir API publik AWS ke ruang alamat VPC pribadi Anda, menggunakan titik akhir terpusat untuk efisiensi biaya. Selain itu, Anda dapat menggunakan AWS Cost and Usage Reports (AWS CUR) untuk melacak penggunaan AWS dan memperkirakan biaya.
-
KeberlanjutanBaca laporan resmi Keberlanjutan
Panduan ini membantu Anda mengurangi jejak karbon yang terkait dengan pengelolaan beban kerja di pusat data Anda sendiri. Infrastruktur global AWS menyediakan infrastruktur pendukung (seperti daya, pendinginan, dan jaringan), tingkat pemanfaatan yang lebih tinggi, dan penyegaran teknologi yang lebih cepat daripada pusat data biasa. Selain itu, segmentasi dan pemisahan beban kerja membantu Anda mengurangi pergerakan data yang tidak perlu, dan Amazon S3 menawarkan tingkatan penyimpanan dan kemampuan untuk memindahkan data secara otomatis ke tingkatan penyimpanan yang efisien.
Sumber Daya Implementasi
Kode sampel adalah titik awal. Kode sampel ini divalidasi industri, bersifat preskriptif tetapi tidak definitif, dan menjadi sarana untuk mencoba sebelum menggunakannya.
Konten Terkait
Konfigurasi Sampel TSE-SE (dengan mesin otomatisasi LZA)
Trusted Secure Enclaves - Sensitive Edition
Penafian
Kode sampel; pustaka perangkat lunak; alat baris perintah; bukti konsep; templat; atau teknologi terkait lainnya (termasuk yang sebelumnya disediakan oleh personel kami) disediakan untuk Anda sebagai Konten AWS berdasarkan Perjanjian Pelanggan AWS, atau perjanjian tertulis yang relevan antara Anda dan AWS (mana saja yang berlaku). Anda tidak boleh menggunakan Konten AWS ini di akun produksi Anda, atau pada produksi atau data penting lainnya. Anda bertanggung jawab untuk menguji, mengamankan, dan mengoptimalkan Konten AWS, seperti kode sampel, yang sesuai untuk penggunaan tingkat produksi berdasarkan praktik dan standar kontrol kualitas spesifik Anda. Melakukan deployment Konten AWS dapat dikenai biaya AWS untuk membuat atau menggunakan sumber daya AWS berbayar, seperti menjalankan instans Amazon EC2 atau menggunakan penyimpanan Amazon S3.
Referensi ke layanan atau organisasi pihak ketiga dalam Panduan ini tidak menyiratkan dukungan, sponsor, atau afiliasi antara Amazon atau AWS dan pihak ketiga. Panduan dari AWS adalah titik awal teknis, dan Anda dapat menyesuaikan integrasi Anda dengan layanan pihak ketiga saat melakukan deployment arsitektur.