使用 Org AWS anizations - AWS 规范性指导

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Org AWS anizations

通过进行简短的调查,影响 AWS 安全参考架构 (AWS SRA) 的未来。

AWS随着AWS资源的增长和扩展,Organizations 可以帮助你集中管理和治理环境。通过使用 Or AWS ganizations,您可以以编程方式创建新AWS账户、分配资源、对账户进行分组以组织工作负载,以及将策略应用于账户或账户组进行管理。AWS组织会整合您的AWS账户,以便您可以将其作为一个单位进行管理。它有一个管理账户以及零个或多个成员账户。您的大部分工作负载都驻留在成员账户中,但某些集中管理的流程除外,这些流程必须位于管理账户或分配为特定AWS服务的委托管理员的账户中。您可以从中心位置为安全团队提供工具和访问权限,以代表AWS组织管理安全需求。您可以通过在AWS组织内共享关键资源来减少资源重复。您可以将帐户分组为AWS组织单位 (OUs),这些单位可以根据工作负载的要求和目的代表不同的环境。

借AWS助 Organizations,您可以使用服务控制策略 (SCPs) 在AWS组织、组织单位或账户级别应用权限护栏。这些保护措施适用于组织账户内的委托人,但管理账户除外(这是不在该账户中运行工作负载的原因之一)。当您将附加SCP到 OU 时,它会由子项OUs和 OU 下的帐户继承。SCPs不要授予任何权限。相反,SCPs请为AWS组织、组织单位或账户指定最大权限。您仍然需要将基于身份或基于资源的策略附加到AWS账户中的委托人或资源,才能实际向他们授予权限。例如,如果SCP拒绝访问所有 Amazon S3,则受影响的委托人SCP将无法访问 Amazon S3,即使通过IAM策略明确授予访问权限。有关如何评估IAM策略、策略的SCPs角色以及最终如何授予或拒绝访问权限的详细信息,请参阅IAM文档中的策略评估逻辑。 

AWSCont@@ rol Tower 提供了一种简化的方法来设置和管理多个帐户。它可以自动设置AWS组织中的帐户,自动进行配置,应用护栏(包括预防和侦查控制),并为您提供可见性的仪表板。附加的IAM管理策略,即权限边界,附加到特定IAM实体(用户或角色),用于设置基于身份的策略可以向实体授予的最大权限。IAM

AWSOrganizations 可帮助您配置适用于所有账户的AWS服务。例如,您可以使用配置在AWS组织中执行的所有操作的集中日志记录 AWS CloudTrail,并防止成员帐户禁用日志记录。您还可以集中聚合使用 AWSConfig 定义的规则的数据,这样您就可以审计工作负载的合规性并对更改做出快速反应。您可以使用AWS CloudFormation StackSets集中管理各个账户和AWS组织OUs中的AWS CloudFormation 堆栈,这样您就可以自动配置一个新帐户以满足您的安全要求。 

Organizati AWS ons 的默认配置支持使用SCPs作为拒绝列表。通过使用拒绝列表策略,成员账户管理员可以委托所有服务和操作,直到您创建并附加SCP拒绝特定服务或一组操作的服务。与允许列表相比,拒绝语句需要更少的维护,因为在AWS添加新服务时您不必更新它们。拒绝语句的字符长度通常较短,因此更容易保持在最大长度以内SCPs。在Effect 元素值为的语句中Deny,您还可以限制对特定资源的访问权限,或者定义何时生效SCPs的条件。相比之下,中的 Allo SCP w 语句适用于所有资源 ("*"),并且不能受条件限制。有关更多信息和示例,请参阅 Organi zations 文档SCPsAWS中的使用策略

设计注意事项

  • 或者,要SCPs用作允许列表,则必须将AWS托管FullAWSAccessSCP列表替换为SCP明确仅允许您想要允许的服务和操作的列表。要为指定账户启用权限,每个账户SCP(从根目录到账户直接路径中的每个 OU,甚至附加到账户本身)都必须允许该权限。这种模式本质上更具限制性,可能适合高度监管和敏感的工作负载。这种方法要求您明确允许从AWS账户到 OU 的路径中的每项IAM服务或操作。

  • 理想情况下,您可以结合使用拒绝列表和允许列表策略。使用允许列表定义允许在AWS组织内使用的AWS服务列表,并将其附加到AWS组织的根目录。SCP如果您的开发环境允许使用不同的服务集,则应SCPs在每个 OU 中附加相应的服务。然后,您可以使用拒绝列表通过明确拒绝特定IAM操作来定义企业护栏。