使用 AWS Organizations 来 - AWS 规范性指导

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 AWS Organizations 来

通过进行简短的调查来影响AWS安全参考架构 (AWSSRA) 的未来。

随着您@@ 的 AWS 资源的增长和扩展,AWS Organizations 可帮助您集中管理和治理您的环境。通过使用 AWS Organizations,您可以通过编程方式创建新的 AWS 账户、分配资源、对账户进行分组以组织您的工作负载,以及将策略应用于账户或账户组进行管理。AWS 组织整合您的 AWS 账户,以便您可以将其作为一个单位进行管理。它有一个管理账户以及零个或多个成员账户。您的大部分工作负载都位于成员账户中,但某些集中管理的流程除外,这些流程必须位于管理账户或分配为特定 AWS 服务的委托管理员的账户中。您可以从中心位置为安全团队提供工具和访问权限,让他们代表 AWS 组织管理安全需求。您可以通过在 AWS 组织内共享关键资源来减少资源重复。您可以将账户分组为 AWS 组织单位 (OU),这些单位可以根据工作负载的要求和目的代表不同的环境。

借助 AWS Organizations,您可以使用服务控制策略 (SCP) 在 AWS 组织、OU 或账户级别应用权限护栏。这些保护措施适用于组织账户内的委托人,但管理账户除外(这是不在该账户中运行工作负载的原因之一)。当你将 SCP 附加到 OU 时,它会被子组织单位和组织单位下的账户继承。SCP 不授予任何权限。相反,SCP 会指定 AWS 组织、OU 或账户的最大权限。您仍然需要将基于身份或基于资源的策略附加到您的 AWS 账户中的委托人或资源,才能实际向他们授予权限。例如,如果 SCP 拒绝访问所有 Amazon S3,则即使通过 IAM 策略明确授予访问权限,受 SCP 影响的委托人也无法访问 Amazon S3。有关如何评估 IAM 策略、SCP 的角色以及最终如何授予或拒绝访问权限的详细信息,请参阅 IAM 文档中的策略评估逻辑。 

AWS Control Tower 提供了一种设置和管理多个账户的简化方法。它可以自动设置您的 AWS 组织中的账户,自动配置账户,应用防护措施(包括预防和侦查控制),并为您提供可见性控制面板。附加的 IAM 管理策略(权限边界)附加到特定的 IAM 实体(用户或角色),用于设置基于身份的策略可以向 IAM 实体授予的最大权限。

AWS Organizations 可帮助您配置适用于您所有账户的 AWS 服务例如,您可以使用 AWS 为在 AWS 组织中执行的所有操作配置中央日志 CloudTrail,并防止成员账户禁用日志记录。您还可以集中汇总使用 AWS Config 定义的规则的数据,这样您就可以审计工作负载的合规性并对更改做出快速反应。您可以使用 AWS CloudFormation StackSets 在您的 AWS 组织中跨账户和 OU 集中管理 AWS CloudFormation 堆栈,这样您就可以自动配置新账户以满足您的安全要求。 

AWS Organizations 的默认配置支持使用 SCP 作为拒绝列表。通过使用拒绝列表策略,成员账户管理员可以委托所有服务和操作,直到您创建并附加拒绝特定服务或一组操作的 SCP 为止。与允许列表相比,拒绝声明需要更少的维护,因为在 AWS 添加新服务时,您不必更新它们。拒绝语句的字符长度通常较短,因此更容易保持在 SCP 的最大大小之内。在 Effect 元素具有值 Deny 的语句中,您还可以限制对特定资源的访问,或者定义 SCP 何时生效的条件。相比之下,SCP 中的 Allow 语句适用于所有资源 ("*"),并且不能受条件限制。有关更多信息和示例,请参阅 AWS Org anizations 文档中的 SCP 使用策略

设计注意事项

  • 或者,要使用 SCP 作为允许列表,您必须将 AWS 托管 FullAWSAccess SCP 替换为明确仅允许您想要允许的服务和操作的 SCP。要为指定账户启用权限,每个 SCP(从根目录到账户直接路径中的每个 OU,甚至附加到账户本身)都必须允许该权限。这种模式本质上更具限制性,可能适合高度监管和敏感的工作负载。这种方法要求您明确允许从 AWS 账户到 OU 的路径中的每个 IAM 服务或操作。

  • 理想情况下,您可以结合使用拒绝列表和允许列表策略。使用允许列表定义允许在 AWS 组织内使用的 AWS 服务列表,并将此 SCP 附加到您的 AWS 组织的根目录。如果您的开发环境允许使用不同的服务集,则应在每个 OU 上附加相应的 SCP。然后,您可以使用拒绝列表通过明确拒绝特定的 IAM 操作来定义企业护栏。