Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Rekayasa platform
**Bangun lingkungan cloud multi-akun yang aman dan sesuai dengan produk cloud yang dikemas dan dapat digunakan kembali.**
Untuk mendukung inovasi dengan memungkinkan tim pengembangan, platform perlu beradaptasi dengan cepat untuk memenuhi tuntutan bisnis. (Lihat [perspektif Bisnis AWS CAF](https://docs.aws.amazon.com/whitepapers/latest/aws-caf-business-perspective/aws-caf-business-perspective.html).) Ini harus dilakukan sementara cukup fleksibel untuk beradaptasi dengan tuntutan manajemen produk, cukup kaku untuk mematuhi kendala keamanan, dan cukup cepat untuk memungkinkan kebutuhan operasional. Proses ini membutuhkan pembangunan lingkungan cloud multi-akun yang sesuai dengan fitur keamanan yang disempurnakan, dan produk cloud yang dikemas dan dapat digunakan kembali.
Lingkungan cloud yang efektif memungkinkan tim Anda menyediakan akun baru dengan mudah sambil memastikan bahwa akun tersebut sesuai dengan kebijakan organisasi. Serangkaian produk cloud yang dikuratori memungkinkan Anda untuk mengkodifikasi praktik terbaik, membantu Anda dalam tata kelola, dan membantu meningkatkan kecepatan dan konsistensi penerapan cloud Anda. [Terapkan cetak biru praktik terbaik Anda, dan pagar pembatas detektif dan pencegahan.](https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-lens/controlsandguardrails.html) [Integrasikan](https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-lens/networkconnectivity.html) lingkungan cloud Anda dengan lanskap yang ada untuk mengaktifkan kasus penggunaan cloud hybrid yang diinginkan.
Otomatiskan alur kerja penyediaan akun dan gunakan [beberapa akun](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html) untuk mendukung tujuan keamanan dan tata kelola Anda. Siapkan konektivitas antara lingkungan lokal dan cloud serta antar akun cloud yang berbeda. Terapkan [federasi](https://aws.amazon.com/single-sign-on/) antara penyedia identitas yang ada (iDP) dan lingkungan cloud Anda sehingga pengguna dapat mengautentikasi dengan menggunakan kredensi login yang ada. Pusatkan pencatatan, buat audit keamanan lintas akun, buat resolver DNS masuk dan keluar, dan dapatkan visibilitas dasbor ke akun dan pagar pembatas Anda.
Mengevaluasi dan mensertifikasi layanan cloud untuk konsumsi sesuai dengan standar perusahaan dan manajemen konfigurasi. Package dan terus meningkatkan standar perusahaan sebagai produk self-service deployable dan layanan habis pakai. Manfaatkan [infrastruktur sebagai kode (IAc)](https://aws.amazon.com/cloudformation/) untuk mendefinisikan konfigurasi dengan cara deklaratif. Buat tim pemberdayaan untuk menginjili platform kepada pengembang dan pengguna bisnis dan memungkinkan mereka untuk membangun integrasi yang mempercepat adopsi di seluruh organisasi Anda.
Menyelesaikan tugas yang dibahas di bagian berikut mengharuskan Anda untuk membangun [kemampuan](https://docs.aws.amazon.com/whitepapers/latest/establishing-your-cloud-foundation-on-aws/capabilities.html) dan tim untuk mengembangkan organisasi Anda menuju rekayasa platform modern. Untuk detail teknis, lihat [Membangun Cloud Foundation Anda di AWS](https://docs.aws.amazon.com/whitepapers/latest/establishing-your-cloud-foundation-on-aws/welcome.html) whitepaper.
## Mulai
### Bangun landing zone dan gunakan pagar pembatas
Saat Anda memulai perjalanan menuju rekayasa platform yang matang, Anda harus terlebih dahulu menerapkan [landing zone](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-aws-environment/understanding-landing-zones.html) Anda dengan pagar pembatas detektif dan preventif sebagaimana didefinisikan dalam kemampuan arsitektur platform. Guardrails memastikan bahwa standar organisasi tidak dilanggar karena pemilik aplikasi menggunakan sumber daya cloud. [Dengan mekanisme ini, Anda mengotomatiskan alur kerja penyediaan akun untuk menggunakan [beberapa akun](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html) yang mendukung tujuan [keamanan](https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/security-perspective.html) dan tata kelola Anda.](https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/governance-perspective.html)
### Menetapkan otentikasi
Menerapkan [manajemen identitas dan kontrol akses](https://aws.amazon.com/solutions/guidance/identity-management-and-access-control-on-aws) di semua lingkungan, sistem, beban kerja, dan proses sesuai dengan standar yang ditentukan dalam perspektif Keamanan [AWS CAF](https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/security-perspective.html). Untuk identitas tenaga kerja, batasi penggunaan [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) pengguna dan sebagai gantinya mengandalkan penyedia identitas yang memungkinkan Anda mengelola identitas di tempat terpusat. Ini membuatnya lebih mudah untuk mengelola akses di beberapa aplikasi dan layanan, karena Anda membuat, mengelola, dan mencabut akses dari satu lokasi. Gunakan proses yang ada untuk mengelola pembuatan, pembaruan, dan penghapusan akses untuk menyertakan AWS lingkungan Anda.
### Menyebarkan jaringan Anda
Sesuai dengan desain [arsitektur platform](platform-arch.md) Anda, buat [akun jaringan terpusat](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/infrastructure-ou-and-accounts.html#network-account) untuk mengontrol lalu lintas masuk dan keluar ke dan dari lingkungan Anda. Kami menyarankan Anda merancang jaringan Anda untuk konektivitas yang disediakan dengan cepat antara jaringan lokal dan AWS lingkungan Anda, ke dan dari internet, dan di seluruh lingkungan Anda. AWS Memusatkan manajemen jaringan Anda memungkinkan Anda untuk menyebarkan kontrol jaringan untuk mengisolasi jaringan dan konektivitas di seluruh lingkungan Anda dengan menggunakan kontrol preventif dan reaktif.
### Kumpulkan, agregat, dan lindungi data peristiwa dan log
Gunakan [observabilitas CloudWatch lintas akun Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html). Ini menyediakan antarmuka terpadu untuk mencari, memvisualisasikan, dan menganalisis metrik, log, dan jejak di seluruh akun tertaut Anda, dan menghilangkan batasan akun.
Jika organisasi Anda memiliki persyaratan kepatuhan khusus untuk kontrol log terpusat dan keamanan, pertimbangkan untuk menyiapkan [akun arsip log](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/security-ou-and-accounts.html#log-archive-account) khusus. Ini menawarkan repositori terpusat dan terenkripsi khusus untuk data log. Tingkatkan keamanan arsip ini dengan memutar kunci enkripsi secara teratur.
Menerapkan kebijakan yang kuat untuk melindungi data log sensitif, menggunakan [teknik masking](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/mask-sensitive-log-data.html) seperlunya. Gunakan agregasi log untuk kepatuhan, keamanan, dan log audit, dan pastikan penggunaan pagar pembatas dan konstruksi identitas yang ketat untuk mencegah perubahan yang tidak sah pada konfigurasi log.
### Tetapkan kontrol
Sesuai dengan definisi dari [perspektif Keamanan AWS CAF](https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/security-perspective.html), gunakan [kemampuan keamanan](https://aws.amazon.com/architecture/cloud-foundations/security-capabilities/) dasar yang memenuhi persyaratan bisnis Anda. Gunakan kontrol [pencegahan](https://docs.aws.amazon.com/prescriptive-guidance/latest/aws-security-controls/preventative-controls.html) dan [detektif tambahan, dan sediakan kontrol](https://docs.aws.amazon.com/prescriptive-guidance/latest/aws-security-controls/detective-controls.html) tersebut secara terprogram dan konsisten di semua akun Anda jika diperlukan. Integrasikan kontrol detektif ke dalam perkakas operasional sebagaimana didefinisikan oleh kemampuan arsitektur platform sehingga sumber daya yang tidak sesuai dapat ditinjau oleh mekanisme operasional.
### Menerapkan manajemen keuangan cloud
Sesuai dengan [perspektif Tata Kelola AWS CAF](https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/governance-perspective.html), terapkan tag alokasi biaya, dan Cost Categories AWS yang menyelaraskan strategi penandaan organisasi Anda dengan akuntabilitas keuangan untuk konsumsi cloud. AWS Cost Categories memungkinkan Anda menagih atau menampilkan biaya cloud kembali ke pusat biaya internal dengan menggunakan alat seperti [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/)dan data penagihan yang dipublikasikan di [AWS Cost and Usage Report](https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html).
## Maju
### Bangun otomatisasi infrastruktur
Sebelum Anda melanjutkan, evaluasi dan sertifikasi layanan cloud untuk konsumsi sesuai dengan arsitektur [platform](platform-arch.md) Anda. Kemudian, paket dan terus meningkatkan standar perusahaan sebagai produk yang dapat digunakan dan layanan habis pakai, dan gunakan infrastruktur sebagai kode (IAc) untuk mendefinisikan konfigurasi dengan cara deklaratif. Otomatisasi infrastruktur meniru siklus pengembangan perangkat lunak dengan memungkinkan akses ke layanan tertentu di setiap akun dengan kontrol akses berbasis peran (RBAC) atau kontrol akses berbasis atribut (ABAC). Terapkan metode untuk menyediakan akun baru dengan cepat dan menyelaraskannya dengan kemampuan layanan dan manajemen insiden Anda dengan menggunakan APIs, atau mengembangkan kemampuan swalayan. Otomatiskan integrasi jaringan dan alokasi IP saat akun dibuat untuk memastikan kepatuhan dan keamanan jaringan. Integrasikan akun baru dengan solusi manajemen layanan TI (ITSM) Anda dengan menggunakan konektor asli yang dikonfigurasikan untuk dioperasikan. AWS Perbarui buku pedoman dan runbook Anda sebagaimana mestinya.
### Menyediakan layanan observabilitas terpusat
Untuk mencapai [observabilitas cloud](https://docs.aws.amazon.com/whitepapers/latest/aws-caf-operations-perspective/observability.html) yang efektif, platform Anda harus mendukung pencarian dan analisis real-time dari data log lokal dan terpusat. Saat skala operasi Anda, kemampuan platform Anda untuk mengindeks, memvisualisasikan, dan menafsirkan log, metrik, dan jejak adalah kunci untuk mengubah data mentah menjadi wawasan yang dapat ditindaklanjuti.
Dengan mengkorelasikan log, metrik, dan jejak, Anda dapat mengekstrak kesimpulan yang dapat ditindaklanjuti dan mengembangkan tanggapan yang ditargetkan dan terinformasi. Tetapkan aturan yang memungkinkan respons proaktif terhadap peristiwa atau pola keamanan yang diidentifikasi dalam log, metrik, atau jejak Anda. Saat AWS solusi Anda berkembang, pastikan bahwa strategi pemantauan Anda berskala bersama-sama untuk mempertahankan dan meningkatkan kemampuan observabilitas Anda.
### Menerapkan manajemen sistem dan tata kelola AMI
Organizations yang menggunakan instans Amazon Elastic Compute Cloud (Amazon EC2) secara ekstensif memerlukan perkakas operasional untuk mengelola instans dalam skala besar. Manajemen aset perangkat lunak, deteksi dan respons titik akhir, manajemen inventaris, manajemen kerentanan, dan manajemen akses adalah kemampuan dasar bagi banyak organisasi. Kemampuan ini sering disampaikan melalui agen perangkat lunak yang diinstal pada instance. Kembangkan kemampuan untuk mengemas agen dan konfigurasi khusus lainnya ke Amazon Machine Images (AMI), dan buat AMI ini tersedia bagi konsumen platform cloud. Gunakan kontrol pencegahan dan detektif yang mengatur penggunaan AMI ini. AMI harus berisi perkakas yang memungkinkan pengelolaan instans EC2 yang berjalan lama dalam skala besar, terutama untuk beban kerja Amazon EC2 yang dapat berubah yang tidak mengkonsumsi yang baru secara teratur. AMIs Anda dapat menggunakan [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent.html)skala besar untuk mengotomatiskan peningkatan agen, mengumpulkan inventaris sistem, mengakses instans EC2 dari jarak jauh, dan menambal kerentanan sistem operasi.
### Mengelola penggunaan kredensi
Sesuai dengan [perspektif Keamanan AWS CAF,](https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/security-perspective.html) implementasikan peran dan kredensi sementara. Gunakan perkakas untuk mengelola akses jarak jauh ke instans atau sistem lokal dengan menggunakan agen pra-instal tanpa menyimpan rahasia. Kurangi ketergantungan pada kredensil jangka panjang, dan pindai kredensi hardcode di templat IAc Anda. Jika Anda tidak dapat menggunakan kredensil sementara, gunakan alat terprogram seperti token aplikasi dan kata sandi basis data untuk mengotomatiskan rotasi dan manajemen kredensi. Kodifikasi pengguna, grup, dan peran dengan menggunakan prinsip hak istimewa paling rendah dengan IAc, dan mencegah pembuatan akun identitas secara manual dengan menggunakan pagar pembatas.
### Membangun perkakas keamanan
Alat pemantauan keamanan harus mendukung pemantauan keamanan terperinci di seluruh infrastruktur, aplikasi, dan beban kerja dan memberikan tampilan agregat untuk analisis pola. Seperti semua alat manajemen keamanan lainnya, Anda harus memperluas alat deteksi dan respons (XDR) yang diperluas untuk menyediakan fungsi untuk menilai, mendeteksi, merespons, dan memulihkan keamanan aplikasi, sumber daya, dan lingkungan Anda sesuai dengan persyaratan yang ditentukan dalam perspektif Keamanan [AWS CAF](https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/security-perspective.html). AWS
## Unggul
### Sumber dan distribusikan konstruksi identitas dengan otomatisasi
Kodifikasi dan konstruksi identitas versi seperti peran, kebijakan, dan templat dengan alat IAc. Gunakan alat validasi kebijakan untuk memeriksa peringatan keamanan, kesalahan, peringatan umum, perubahan yang disarankan pada kebijakan IAM Anda, dan temuan lainnya. Jika perlu, terapkan dan hapus konstruksi identitas yang menyediakan akses sementara ke lingkungan secara otomatis, dan melarang penerapan oleh individu yang menggunakan konsol.
### Tambahkan deteksi dan peringatan untuk pola anomali di seluruh lingkungan
Secara proaktif menilai lingkungan untuk kerentanan yang diketahui dan menambahkan deteksi untuk peristiwa dan pola aktivitas yang tidak biasa. Tinjau temuan dan buat rekomendasi kepada tim arsitektur platform untuk perubahan yang mendorong efisiensi dan inovasi lebih lanjut.
### Menganalisis dan memodelkan ancaman
Menerapkan pemantauan dan pengukuran berkelanjutan terhadap tolok ukur industri dan keamanan sesuai dengan persyaratan dari perspektif [Keamanan AWS CAF](https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/security-perspective.html). Saat Anda menerapkan pendekatan instrumentasi Anda, tentukan jenis data dan informasi peristiwa mana yang paling baik menginformasikan fungsi manajemen keamanan Anda. Pemantauan ini mencakup beberapa vektor serangan, termasuk penggunaan layanan. Fondasi keamanan Anda harus mencakup kemampuan komprehensif untuk pencatatan dan analitik yang aman di seluruh lingkungan multi-akun Anda yang mencakup kemampuan untuk mengkorelasikan peristiwa dari berbagai sumber. Cegah perubahan pada konfigurasi ini dengan kontrol dan pagar pembatas tertentu.
### Terus mengumpulkan, meninjau, dan mengisi kembali izin
Rekam perubahan pada peran dan izin identitas dan terapkan peringatan saat pagar pembatas detektif mendeteksi penyimpangan dari status konfigurasi yang diharapkan. Gunakan alat pengenal gabungan dan pola untuk meninjau koleksi acara terpusat Anda dan menentukan izin sesuai kebutuhan.
### Pilih, ukur, dan terus tingkatkan metrik platform Anda
Untuk memungkinkan operasi platform yang sukses, buat dan tinjau metrik komprehensif secara rutin. Pastikan bahwa mereka selaras dengan tujuan organisasi dan kebutuhan pemangku kepentingan. Lacak kinerja platform dan metrik peningkatan, dan gabungkan parameter operasional seperti tambalan, cadangan, dan kepatuhan dengan menggunakan pemberdayaan tim dan indikator adopsi alat.
Gunakan [observabilitas CloudWatch lintas akun untuk manajemen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) metrik yang efisien. Layanan ini merampingkan agregasi dan visualisasi data untuk memungkinkan keputusan berdasarkan informasi dan peningkatan yang ditargetkan. Gunakan metrik ini sebagai indikator keberhasilan dan pendorong perubahan untuk menumbuhkan lingkungan perbaikan berkelanjutan.