组织管理账户 - AWS 规范性指导
服务控制策略IAM身份中心IAM访问顾问AWSSystems ManagerAWS Control TowerAWSArtical分布式和集中式安全服务护栏

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

组织管理账户

通过进行简短的调查,影响 AWS 安全参考架构 (AWS SRA) 的未来。

下图说明了在组织管理账户中配置AWS的安全服务。

组织管理账户的安全服务

本指南前面的 “使用 O AWS rganizations 确保安全和 “管理帐户、可信访问权限和委托管理员” 部分深入讨论了组织管理账户的目的和安全目标。请遵循组织管理账户的安全最佳实践。其中包括使用由您的企业管理的电子邮件地址、维护正确的管理和安全联系信息(例如,在AWS需要联系账户所有者时向账户添加电话号码)、为所有用户启用多因素身份验证 (MFA),以及定期查看谁有权访问组织管理账户。在组织管理账户中部署的服务应配置适当的角色、信任策略和其他权限,这样这些服务的管理员(必须使用组织管理账户访问这些服务)也不会不当访问其他服务。

服务控制策略

借助 AWSOr ganizations,您可以集中管理多个AWS账户的政策。例如,您可以将服务控制策略 (SCPs) 应用于作为组织成员的多个AWS账户。SCPs允许您定义组织成员AWS账户中的 Ident AWSity and Access Managem ent (IAM) 实体(例如IAM用户和角色)APIs可以运行和不能运行哪些AWS服务。SCPs是通过组织管理账户创建和应用的,组织管理AWS账户是您在创建组织时使用的账户。SCPs在本参考文献前面的 “使用 Organ AWS izations 确保安全” 一节中阅读更多相关信息。 

如果您使用 Cont AWS rol Tower 来管理您的AWS组织,它将部署一套SCPs作为预防性护栏(分为必填项、强烈推荐或选择性)。这些护栏通过在组织范围内实施安全控制来帮助您管理资源。它们SCPs会自动使用值为的 aws-control-tower标签 managed-by-control-tower。 

设计注意事项

  • SCPs仅影响AWS组织中的成员帐户。尽管它们是从组织管理账户应用的,但它们对该账户中的用户或角色没有影响。要了解SCP评估逻辑的工作原理并查看推荐结构的示例,请参阅AWS博客文章《如何在AWS组织中使用服务控制策略》

IAM身份中心

AWSIAMIdentity Center(AWS单点登录的继任者)是一项身份联合服务,可帮助您集中管理对所有AWS账户、委托人和云工作负载的SSO访问权限。IAMIdentity Center 还可以帮助您管理对常用的第三方软件即服务 (SaaS) 应用程序的访问和权限。身份提供商使用 SAML 2.0 与 Ident IAM ity Center 集成。批量 just-in-time配置可以通过使用跨域身份管理系统 (SCIM) 来完成。IAM身份中心还可以通过使用AWS目录服务与本地或AWS托管的 Microsoft Active Directory (AD) 域集成,作为身份提供者。IAMIdentity Center 包括一个用户门户,您的最终用户可以在其中一处查找和访问他们分配的AWS帐户、角色、云应用程序和自定义应用程序。

IAM默认情况下,Identity Center 与 AWS Organizations 集成,并在组织管理账户中运行。但是,为了行使最低权限并严格控制对管理账户的访问权限,可以将 Ident IAM ity Center 的管理委托给特定的成员账户。在中 AWSSRA,共享服务账户是 Ident IAM ity Center 的委派管理员帐户。在为 Ident IAM ity Center 启用委托管理之前,请查看以下注意事项。您可以在共享服务帐户部分找到有关委托的更多信息。即使启用了委托,Ident IAM ity Center 仍需要在组织管理账户中运行才能执行某些与 Id ent IAM ity Center 相关的任务,包括管理在组织管理账户中配置的权限集。 

在 IAM Identity Center 控制台中,账户按其封装 OU 显示。这使您能够快速发现自己的AWS帐户,应用常用权限集,并从中央位置管理访问权限。 

IAMIdentity Center 包括一个身份存储,必须存储特定的用户信息。但是,IAMIdentity Center 不一定是员工信息的权威来源。如果您的企业已经拥有权威来源,则 Ident IAM ity Center 支持以下类型的身份提供商(IdPs)。

  • IAMIdentity Center 身份存储- 如果以下两个选项不可用,请选择此选项。在身份存储中创建用户、进行群组分配和分配权限。即使您的权威来源位于 Ident IAM ity Center 之外,主体属性的副本也将存储在身份存储中。

  • Microsoft Active Directory (AD) — 如果要继续管理微软活动AWS目录服务目录中的用户或活动目录中的自我管理目录中的用户,请选择此选项。

  • 外部身份提供商- 如果您更喜欢在SAML基于外部第三方的 IdP 中管理用户,请选择此选项。

您可以依赖企业中已经存在的现有 IdP。这使得管理多个应用程序和服务的访问权限变得更加容易,因为您可以从一个位置创建、管理和撤消访问权限。例如,如果有人离开你的团队,你可以撤消他们从一个地点对所有应用程序和服务(包括AWS账户)的访问权限。这减少了对多个证书的需求,并为您提供了与人力资源 (HR) 流程集成的机会。

设计注意事项

  • 如果您的企业可以使用外部 IdP 选项,请使用该选项。如果您的 IdP 支持跨域身份管理系统 (SCIM),请利用 Ident IAM ity Center 中的SCIM功能自动配置用户、群组和权限(同步)。这样,新员工、要调到其他团队的员工以及即将离开公司的员工都可以AWS访问与您的公司工作流程保持同步。在任何给定时间,您只能将一个目录或一个 SAML 2.0 身份提供商连接到 IAM Identity Center。但是,您可以切换到其他身份提供商。

IAM访问顾问

IAMaccess Advisor 以服务上次访问信息的形式为您的AWS账户提供可追溯性数据,以及OUs。使用此侦探控件为最低权限策略做出贡献。对于IAM实体,您可以查看两种类型的上次访问信息:允许的AWS服务信息和允许的操作信息。此信息包括进行尝试的日期和时间。 

IAM通过组织管理账户内的访问权限,您可以查看组织管理账户、组织单位、成员账户或AWS组织内IAM政策的上次访问服务数据。此信息可在管理账户的IAM控制台中找到,也可以通过使用AWS命令行界面 (AWSCLI) APIs 中的IAM访问顾问或编程客户端以编程方式获取。该信息指明组织或账户中的哪些主体上次尝试访问该服务以及尝试访问的时间。上次访问的信息可以深入了解实际的服务使用情况(参见示例场景),因此您可以将IAM权限减少到仅限实际使用的服务。

AWSSystems Manager

S AWSystems Manager 的功能是 “快速设置” 和 “浏览器”,它们都支持 “AWS组织”,也可以通过 “组织管理” 帐户进行操作。 

快速设置是 S ystems Manager 的一项自动化功能。它使组织管理帐户能够轻松定义配置,让 Systems Manager 代表您AWS组织中的多个账户进行互动。您可以在整个AWS组织中启用快速设置,也可以选择特定的OUs。快速安装可以安排 S AWS ystems Manager SSM 代理(代理)每两周对您的EC2实例运行一次更新,并且可以设置对这些实例的每日扫描以识别缺失的补丁。 

Explorer 是一个可自定义的操作仪表板,用于报告有关您的AWS资源的信息。Explorer 显示您的AWS账户和各个AWS区域的运营数据的汇总视图。这包括有关您的EC2实例的数据和补丁合规性详细信息。在 Organizations 中完成集成设置(其中还包括 Systems Manager OpsCenter)后,您可以按AWS组织或整个AWS组织在 Explorer 中聚合数据。在资源管理器中显示数据之前,Systems Manager 会将数据聚合到AWS组织管理帐户中。

本指南后面的 “工作负载 OU” 部分讨论了在应用程序账户中的EC2实例上使用 Systems Manager SSM 代理(代理)的情况。

AWS Control Tower

AWSCont@@ rol Tower 提供了一种设置和管理安全的多账户AWS环境(称为着陆区)的简单方法。AWSControl Tower 使用 Organi AWS zations 创建您的着陆区,并提供持续的账户管理和治理以及实施最佳实践。您可以使用 Cont AWS rol Tower 通过几个步骤配置新帐户,同时确保这些帐户符合您的组织政策。您甚至可以将现有帐户添加到新的 Cont AWS rol Tower 环境中。 

AWSControl Tower 具有一系列广泛而灵活的功能。一项关键功能是它能够协调其他几项AWS服务(包括AWS组织、S AWS ervice Catalog 和 Ident IAM ity Center)的功能,以建立着陆区。例如,默认情况下,Cont AWS rol Tower 使用AWS CloudFormation 来建立基准,AWSOrganizations 服务控制策略 (SCPs) 用于防止配置更改,使用AWS配置规则来持续检测不合格情况。AWSControl Tower 采用蓝图,可帮助您快速调整多账户AWS环境与 W AWSell Architected 安全基础设计原则。在监管功能中,Cont AWS rol Tower 提供了防护,可防止部署不符合所选策略的资源。 

您可以开始使用 Cont AWS rol Tower 实施AWSSRA指南。例如,Cont AWS rol Tower 使用推荐的多账户架构建立了一个AWS组织。它提供了蓝图,用于提供身份管理、提供账户联合访问权限、集中日志记录、建立跨账户安全审计、定义配置新账户的工作流程,以及使用网络配置实施账户基准。 

在中 AWSSRA,Cont AWS rol Tower 位于组织管理账户中,因为 Cont AWS rol Tower 使用此帐户自动设置AWS组织并将该帐户指定为管理帐户。此账户用于在整个AWS组织中进行计费。它还用于 Account Factory 配置账户OUs、管理和管理护栏。如果您在现有AWS组织中启动 Cont AWS rol Tower,则可以使用现有管理帐户。AWSControl Tower 将使用该账户作为指定的管理账户。

设计注意事项

  • 如果您想对账户中的控件和配置进行额外的基准化,则可以使用 Contro AWSl Tower 的自定义 (cfcT)。使用 cfcT,您可以使用AWS CloudFormation 模板和服务AWS控制策略(SCPs)来自定义 Control Tower 着陆区。您可以将自定义模板和策略部署到个人账户和组织OUs内部。cfcT 与 Cont AWS rol Tower 生命周期事件集成,确保资源部署与您的着陆区保持同步。 

AWSArtical

AWSA@@ rtifac tic 提供按需访问AWS安全和合规报告以及精选在线协议的权限。A AWS rtifact 中提供的报告包括系统和组织控制 (SOC) 报告、支付卡行业 (PCI) 报告,以及来自不同地区和合规垂直领域的认证机构的认证,这些认证机构可以验证安全控制的AWS实施和运营有效性。AWSArtifactic 可帮助您进行尽职调查,提高我们安全控制环境的透明度。AWS它还允许您持续监控安全性和合规性,并AWS可立即访问新报告。 

AWS借助 Artifact Agreements,您可以在 Organizations 中查看、接受和跟踪个人账户的商业伙伴附录 (BAA) 等AWS协议的AWS状态。 

您可以将AWS审计对象提供给您的审计师或监管机构,作为AWS安全控制的证据。您还可以使用某些AWS审计工件提供的责任指南来设计您的云架构。本指南有助于确定您可以采取哪些其他安全控制措施来支持系统的特定用例。 

AWSArtifacts 托管在 Org Management 账户中,为你提供了一个中心位置,你可以在这里查看、接受和管理与之达成的协议AWS。这是因为管理账户接受的协议会向下流向成员账户。 

设计注意事项

  • 应限制组织管理账户中的用户只能使用 Artif AWS act 的 “协议” 功能,不得使用其他任何功能。为了实现职责分离,A AWS rtifact 还托管在 Security Tools 账户中,您可以在其中向合规利益相关者和外部审计师委托访问审计工件的权限。您可以通过定义细粒度的IAM权限策略来实现这种分离。有关示例,请参阅AWS文档中的IAM策略示例

分布式和集中式安全服务护栏

在 Sec AWS ur AWS SRA ity Hub、Amazon GuardDuty、AWS Config、Acc IAM ess Analyzer、AWS CloudTrail 组织跟踪中,通常还部署了 Amazon Macie,并对安全工具账户进行了适当的委托管理或聚合。这样可以跨账户设置一致的防护措施,还可以在整个组织中提供集中式监控、管理和治理。AWS您将在中代表的每种账户类型中找到这组服务AWSSRA。这些AWS服务应该是必须作为账户注册和基准制定流程的一部分进行配置的服务的一部分。GitHub代码存储库提供了跨账户(包括AWS组织管理账户)实施AWS以安全为重点的服务的示例。 

除这些服务外,还AWSSRA包括两项以安全为重点的服务,即 Amazon Detective 和 Audi AWS t Manager,它们支持 Organiations 中的集成和委托管理员功能AWS。但是,这些不包括在账户基准的推荐服务中。我们已经看到,这些服务最适合在以下场景中使用:

  • 您有一个专门的团队或一组资源来执行这些数字取证和 IT 审计职能。Amazon Detective 最适合安全分析团队使用,而 AWS Audit Manager 对您的内部审计或合规团队很有帮助。

  • 您希望在项目开始时专注于一组核心工具,例如 GuardDuty 和 Security Hub,然后使用提供额外功能的服务在这些工具的基础上再接再厉。