AWS Landing Zone: Setup Sekali, Govern Untuk Selamanya

Kenapa Perlu Landing Zone?

Kalau ko setup AWS account sorang-sorang untuk setiap team, lama-lama jadi huru-hara. Billing bersepah, security config lain-lain, tak ada standard. Landing Zone solve semua tu dengan satu approach: build once, govern centrally, scale securely.

Idea asasnya mudah. Ko setup satu struktur account yang proper dari awal, lepas tu semua team baru masuk ikut struktur yang sama. No more wild west.

Root Management Account

Ini puncak hierarchy. Semua policy dan governance flow dari sini ke bawah. Ada beberapa komponen penting kat layer ni:

• AWS Organizations – manage semua account dari satu tempat
• Service Control Policies (SCPs) – preventive guardrails, restrict apa yang boleh dan tak boleh dibuat kat account bawah
• Account Factory (Automated) – provision account baru secara automated, bukan manual
• Tag Policies & Governance – enforce tagging standard supaya billing breakdown jadi senang
• Security Baselines – baseline config yang kena ada kat setiap account

Organizational Units (OUs)

Bawah Root, ko group account ikut fungsi guna OU. Dalam architecture ni ada empat OU utama.

Shared Services OU

Account-account yang dikongsi semua team. Logging Account, Security Account, Network Account, Audit Account, Tools Account. Semua centralized kat sini supaya tak perlu duplicate setup kat setiap workload account.

Workload OUs (Dev / QA / Prod)

Setiap environment dapat OU sendiri. Dev ada Dev Account 1, 2, sampai N. QA sama. Prod sama. Pattern ni enforce separation of environments secara struktural, bukan sekadar naming convention.

Ko boleh apply SCP yang berbeza ikut OU. Contoh, Prod OU ada restriction lebih ketat berbanding Dev OU. Team Dev boleh experiment, tapi Prod kena lock down.

Network Foundation

Network design dalam Landing Zone ikut hub-and-spoke model:

1. AWS Transit Gateway – central routing hub untuk semua VPC
2. Shared Services VPC – inspection dan endpoints duduk sini
3. Hub VPC – central networking, traffic flow melalui sini
4. Spoke VPCs – satu per account atau workload, connect balik ke hub

Traffic dari Prod account nak keluar ke internet kena lalu Hub VPC dulu. Ko boleh letak firewall, inspection, logging kat situ. Semua traffic ter-centralize.

Governance Guardrails

Kat sebelah kanan architecture ada guardrails yang enforce compliance secara automated:

• SCPs (Preventive Controls) – block action yang tak dibenar sebelum ia berlaku
• AWS Config Rules – detect drift dari baseline config
• CloudTrail (Audit) – log semua API call, centralized ke Logging Account
• AWS Security Hub – aggregate security findings dari semua account
• AWS GuardDuty – threat detection, tengok suspicious activity

Preventive vs detective controls ni penting. SCP prevent sebelum berlaku. Config Rules detect selepas berlaku. Ko perlu dua-dua.

CI/CD & Automation Layer

Landing Zone bukan setup manual. Semua kena automated:

• Infrastructure as Code – Terraform atau CloudFormation untuk semua resource
• CI/CD Pipelines – GitHub Actions atau CodePipeline untuk deploy changes
• Account Provisioning (Automated) – team baru request account, system provision sendiri
• Policy Validation – OPA atau Checkov scan IaC sebelum deploy, catch misconfiguration awal
• Image & Artifact Repositories – ECR untuk container images, CodeArtifact atau S3 untuk artifacts

Kalau account provisioning masih manual, ko akan jadi bottleneck. Automate awal.

Centralized Operations

Nak monitor semua account sekaligus, ada empat tool yang kena ada:

• Amazon CloudWatch – monitoring dan alerting, centralized dashboard
• AWS CloudTrail – logging dan audit trail
• Amazon EventBridge – automation trigger based on events merentas account
• AWS Backup – centralized backup management untuk semua account

Landing Zone Principles

Enam prinsip yang architecture ni bina atasnya:

1. Security by Design – security bukan afterthought, dia embedded dari awal
2. Least Privilege Access – bagi permission minimum yang diperlukan sahaja
3. Separation of Duties – Dev team tak ada access ke Prod, Ops team tak boleh bypass audit
4. Automate Everything – kalau boleh automate, automate
5. Visibility & Auditability – semua action kena logged dan boleh di-audit
6. Scalability & Consistency – pattern yang sama apply merentas semua account baru

Business Outcomes Yang Ko Boleh Expect

Bila Landing Zone properly implemented, ko dapat beberapa benda konkrit:

• Faster onboarding. Team baru boleh hit the ground running sebab account dah pre-configured dengan semua security baseline.
• Consistent security. Tak ada account yang ter-skip security config sebab guardrails enforce secara automated.
• Reduced operational complexity. Centralized logging, monitoring, backup. Tak payah setup benda sama kat 20 account.
• Better cost visibility. Tag policies enforce, billing breakdown jadi lebih clear.

Nak Start Dari Mana?

Kalau ko baru nak implement, start dengan AWS Control Tower. Dia abstract banyak complexity Landing Zone ni dan provide opinionated setup yang ikut AWS best practices.

Kalau environment ko dah ada dan complex sikit, consider customizing guna Landing Zone Accelerator on AWS. Open source, boleh extend ikut keperluan organization.

Yang penting, jangan start dengan provision account dulu. Design OU structure dan SCP strategy dulu. Sebab tu yang paling susah nak ubah kemudian.