本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
着陆区加速器概述
为了在其中建立 AWS 符合国防信息系统局 (DISA) 安全云计算架构 (SCCA) 的着陆区,您必须具备某些要素来帮助您满足最低要求。 AWS 创建了着陆区加速器 (LZA),以帮助您部署符合必要要求的着陆区。使用 LZA 解决方案,您可以使用一组配置文件来部署环境。这些配置文件可帮助您专注于环境的交付,而不是学习每个人 AWS 服务 以及如何部署环境。
下图显示了 LZA 部署中涉及的服务。这些数字表示工作流程,从修改配置文件到在工作负载帐户 AWS 服务 中进行配置。
该解决方案旨在与 AWS 最佳实践保持一致,并符合多个全球合规框架。当与诸如之类的服务配合使用时 AWS Control Tower,该解决方案可提供涵盖超过 35 AWS 服务 个功能的全面、低代码解决方案。具体而言,此解决方案可帮助您管理和治理多账户环境,该环境专为支持高度监管的工作负载和复杂的合规性要求而构建。LZA 通过安全性、合规性和运营能力帮助您建立平台就绪状态。本指南包括有关使用此解决方案来支持与美国 (US) 联邦和国防部 (DoD) 指导方针保持一致的具体说明。
AWS 将 LZA 解决方案作为开源项目提供,该项目是使用. AWS Cloud Development Kit (AWS CDK) 您可以将其直接安装到您的环境中,从而完全访问基础设施即代码 (IaC) 解决方案。
通过一组简化的配置文件,您可以:
-
配置其他功能、护栏和安全服务,例如AWS Config托管规则和。AWS Security Hub
-
通过诸如亚马逊虚拟私有云(Amazon VPC)和AWS Network Firewall之类的服务管理您的基础网络拓扑。AWS Transit Gateway
使用着陆区加速器无需支付额外费用或预付款。 AWS您只需为设置平台和操作护栏而开启的费用 AWS 服务 即可。该解决方案还可以支持非标准 AWS 分区,包括 AWS GovCloud (US)、AWS Secret 和 AWS 绝密区域。
重要
LZA 解决方案本身并不能使您合规。它提供了基础架构,您可以从中集成其他补充解决方案。LZA 实施指南中包含的信息并不详尽。您必须根据贵组织的特定安全功能、工具和配置来审查、评估、评估和批准该解决方案。确定哪些监管要求适用并确保您遵守所有要求是您和您的组织的全部责任。尽管此解决方案同时讨论了技术和管理要求,但该解决方案并不能帮助您遵守非技术管理要求。
计划您的 LZA 部署 AWS
AWS 已为在上部署着陆区加速器 (LZA) 解决方案创建了详细的AWS实施指南。有关架构图和部署步骤概述,请参阅《 AWS 实施指南》上的《着陆区加速器》中的架构图。在部署解决方案之前,您的环境必须满足先决条件。使用本指南中 SCCA 组件和要求一章中的要求,您可以在 LZA 实施指南中描述的部署选项之间进行选择。
