本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
什么是 AWS Control Tower?
AWS Control Tower 提供了一种按照规范性最佳实践设置和管理 AWS 多账户环境的简单方法。AWS Control Tower 精心编排了其他几项AWS 服务的能力,包括 AWS Organizations AWS Service Catalog AWS IAM Identity Center、和,在不到一小时的时间内建立着陆区。资源是代表您设置和管理的。
AWS Control Tower 编排扩展了的功能。 AWS Organizations为了帮助防止您的组织和账户脱离最佳实践,AWS Control Tower 采用了控制措施(有时也称为护栏)。例如,您可以使用控件来帮助确保创建安全日志和必要的跨账户访问权限,且不会对其进行更改。
如果您要托管多个账户,那么拥有一个便于账户部署和账户管理的编排层是有益的。您可以采用 AWS Control Tower 作为配置账户和基础设施的主要方式。借助 AWS Control Tower,您可以更轻松地遵守公司标准、满足监管要求和遵循最佳实践。
AWS Control Tower 使分散的团队中的最终用户能够通过 Account Factory 中的可配置账户模板快速配置新 AWS 账户。同时,您的中央云管理员可以监控所有账户是否符合已建立的全公司合规政策。
简而言之,AWS Control Tower 根据与数千家企业合作建立的最佳实践,提供了设置和管理安全、合规的多账户 AWS 环境的最简单方法。有关使用 AWS Control Tower 的更多信息以及 AWS 多账户策略中概述的最佳实践,请参阅AWS 多账户策略:最佳实践指南。
功能
AWS Control Tower 具有以下功能:
-
着陆区 — Landing zone 是一个基于安全和合规最佳实践的架构良好的多账户环境。它是企业范围的容器,用于存放您希望遵守合规性监管的所有组织单位 (OU)、账户、用户和其他资源。登录区可以扩展以满足任何规模的企业的需求。
-
控制 — 控件(有时称为护栏)是一条高级规则,可为您的整体 AWS 环境提供持续的治理。它以简明的语言表达。存在三种控制措施:预防性、侦查性和主动性。三类指导适用于控制措施:强制性、强烈建议或选修性。有关控件的详细信息,请参阅 控件的工作原理。
-
A@@ ccount Fac tory — Account Factory 是一个可配置的账户模板,可帮助使用预先批准的账户配置标准化新账户的配置。AWS Control Tower 提供了一个内置的账户 Factory,可帮助您自动完成组织中的账户配置工作流程。有关更多信息,请参阅 使用 Account Factory 配置和管理账户。
-
控制面板 — 控制面板可让您的中央云管理员团队持续监督您的着陆区。使用控制面板查看企业中已配置的账户、为策略实施启用的控件、为持续检测策略不合规性而启用的控件,以及按账户和 OU 组织的不合规资源。
AWS Control Tower 如何与其他 AWS 服务交互
AWS Control Tower 建立在值得信赖和可靠的 AWS 服务之上 AWS Service Catalog,包括 AWS IAM Identity Center、和 AWS Organizations。有关更多信息,请参阅 集成服务。
您可以将 AWS Control Tower 与其他 AWS 服务整合到一个解决方案中,以帮助您将现有工作负载迁移到 AWS。有关更多信息,请参阅如何利用 AWS Control Tower 以及 CloudEndure 如何将工作负载迁移到 AWS
配置、治理和可扩展性
-
自动账户配置:AWS Control Tower 通过Account Factory(或 “自动售货机”)自动部署和注册账户,该工厂是在中预配置产品之上作为抽象构建的。 AWS Service Catalog Account Factory 可以创建和注册 AWS 账户,并自动执行对这些账户应用控制和策略的过程。
-
集中式治理:通过利用的功能 AWS Organizations,AWS Control Tower 建立了一个框架,确保您的多账户环境中的合规性和监管一致性。该 AWS Organizations 服务为管理多账户环境提供了基本功能,包括账户的中央治理和管理、 AWS Organizations 通过 API 创建账户以及服务控制策略 (SCP)。
-
可扩展性:您可以直接在 AWS Control Tower 控制台中工作或在 AWS Control Tower 控制台中 AWS Organizations工作来构建或扩展自己的 AWS Control Tower 环境。注册现有组织并将现有账户注册到 AWS Control Tower 后,您可以在 AWS Control Tower 中看到您的更改反映在 AWS Control Tower 中。您可以更新您的 AWS Control Tower 着陆区以反映您的更改。如果您的工作负载需要更多高级功能,则可以利用其他 AWS 合作伙伴解决方案以及 AWS Control Tower。
您是 AWS Control Tower 的首次用户吗?
如果您是此服务的新用户,建议您阅读以下内容:
-
如果您需要有关如何规划和组织着陆区的更多信息,请参阅规划你的 Cont AWS rol Tower 着陆区和AWS Cont AWS rol Tower 着陆区的多账户策略。
-
如果您已准备好创建您的第一个登录区,请参阅 AWS Control Tower 入门。
-
有关偏差检测和预防的信息,请参阅 在 Cont AWS rol Tower 中检测并解决漂移问题。
-
有关安全性详细信息,请参阅 Cont AWS rol Tower 中的安全。
-
有关更新 landing zone 和成员账户的信息,请参阅Cont AWS rol Tower 中的配置更新管理。