本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 安全参考架构 (AWS SRA)
亚马逊 Web Services 全球服务安全团队 (AWS)
2024 年 6 月(文件历史记录)
| 通过进行简短的调查 |
Amazon Web Services (AWS) 安全参考架构 (AWS SRA) 是一套完整的指南,用于在多账户环境中部署全套 AWS 安全服务。使用它来帮助设计、实施和管理 AWS 安全服务,使其符合 AWS 推荐的实践。这些建议围绕一个包含 AWS 安全服务的单页架构构建,这些服务如何帮助实现安全目标,在您的 AWS 账户中部署和管理这些服务的最佳位置,以及它们如何与其他安全服务交互。本总体架构指南补充了详细的、特定于服务的建议,例如 AWS 安全文档网站上的建议。
架构和随附建议基于我们与 AWS 企业客户的集体经验。本文档仅供参考,这是一套使用 AWS 服务保护特定环境的全面指南,AW S SRA 代码存储库中的解决方案模式专为本参考文献中说明的特定架构而设计。每个客户都有不同的要求。因此,您的 AWS 环境的设计可能与此处提供的示例有所不同。您需要修改和定制这些建议,以适应您的个人环境和安全需求。 在整篇文档中,我们会酌情为经常出现的替代方案提出建议。
AWS SRA 是一套活生动的指南,会根据新的服务和功能发布、客户反馈以及不断变化的威胁形势定期更新。每次更新都将包括修订日期和相关的变更日志。
尽管我们依赖单页图表作为基础,但该架构比单个方框图更深入,并且必须建立在基础和安全原则的结构良好的基础之上。您可以通过两种方式使用本文档:作为叙述或作为参考。这些主题以故事形式组织,因此您可以从头到尾(基础安全指南)阅读它们(讨论可以实现的代码示例)。或者,您可以浏览文档,重点介绍与您的需求最相关的安全原则、服务、账户类型、指南和示例。
本文档分为以下章节和附录:
-
AWS SRA 的价值讨论了构建 AWS SRA 的动机,描述了如何使用它来帮助提高安全性,并列出了关键要点。
-
安全基础回顾了 AWS 云采用框架 (AWS CAF)、AWS Well-Architected Framework 和 AWS 责任共担模型,并重点介绍了与 AWS SRA 特别相关的要素。
-
AWS 组织、账户和 IAM 护栏介绍了 AWS Organizations 服务,讨论了基本的安全功能和防护措施,并概述了我们推荐的多账户策略。
-
AWS 安全参考架构是一个单页架构图,显示了正常运行的 AWS 账户以及通常可用的安全服务和功能。
-
架构深入探讨了基于特定安全功能的高级架构模式,在构建基准安全架构之后,您可能需要重点关注这些功能。
-
用于安全的 AI/ML 描述了不同的 AWS 服务如何在后台使用人工智能和机器学习 (AI/ML) 来帮助您实现特定的安全目标。您可以在设计中加入这些 AWS 服务,以利用高级安全功能。
-
构建您的安全架构 — 根据 AWS SRA 提供的参考资料,分阶段方法提供了有关如何分六个迭代阶段构建自己的安全架构的指导。
-
IAM 资源提供了对您的安全架构很重要的 AWS Identity and Access Management (IAM) 指南的摘要和一组建议。
-
AWS SRA 示例的代码存储库提供了相关GitHub存储库的概述,该存储库
将帮助开发人员和工程师部署本文档中介绍的一些指导和架构模式。您可以使用 AWS CloudFormation 或 Terraform 通过以下方式部署示例。 HashiCorp它们同时支持 AWS Control Tower 和非 AWS 控制塔环境。 -
AWS 隐私参考架构 (AWS PRA) 引入了另一种安全参考架构,该架构基于 AWS SRA 构建,可支持隐私合规要求。
附录包含各个 AWS 安全、身份和合规服务的列表,并提供了有关每项服务的更多信息的链接。“文档历史记录” 部分提供了用于跟踪此文档版本的变更日志。您也可以订阅 RSS 提要以获取变更通知。
注意
要根据您的业务需求自定义本指南中的参考架构图,您可以下载以下.zip 文件并提取其内容。
