關於 AWS Control Tower AWS 帳戶 中的 - AWS Control Tower
引進現有安全或記錄帳戶的考量事項關於共用帳戶

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

關於 AWS Control Tower AWS 帳戶 中的

AWS 帳戶 是所有擁有資源的容器。這些資源包括 帳戶接受的 AWS Identity and Access Management (IAM) 身分,決定誰可以存取該帳戶。 IAM身分可以包括使用者、群組、角色等。如需在 AWS Control Tower 中使用 IAM、使用者、角色和政策的詳細資訊,請參閱 AWS Control Tower 中的身分和存取管理

資源和帳戶建立時間

當 AWS Control Tower 建立或註冊帳戶時,它會部署帳戶所需的最低資源組態,包括 Account Factory 範本形式的資源,以及登陸區域中的其他資源。這些資源可能包括IAM角色、 AWS CloudTrail 軌跡、Service Catalog 佈建產品,以及 IAM Identity Center 使用者。 AWSControl Tower 也會根據控制組態的要求,為新帳戶目的地為成員帳戶的組織單位 (OU) 部署資源。

AWS Control Tower 會代表您協調這些資源的部署。每個資源可能需要幾分鐘才能完成部署,因此請在建立或註冊帳戶之前考慮總時間。如需管理帳戶中資源的詳細資訊,請參閱 建立和修改 AWS Control Tower 資源的指引

引進現有安全或記錄帳戶的考量事項

接受 AWS 帳戶 做為安全或記錄帳戶之前,AWSControl Tower 會檢查帳戶是否有與 AWS Control Tower 要求衝突的資源。例如,您可能有一個記錄儲存貯體,其名稱與 AWS Control Tower 要求的名稱相同。此外,AWSControl Tower 會驗證帳戶是否可以佈建資源;例如,確保已啟用 AWS Security Token Service (AWS STS)、帳戶未暫停,以及 AWS Control Tower 具有在帳戶中佈建資源的許可。

AWS Control Tower 不會移除您提供的日誌和安全帳戶中的任何現有資源。不過,如果您選擇啟用 AWS 區域 拒絕功能,區域拒絕控制會阻止存取拒絕區域中的資源。

關於共用帳戶

三個特殊項目與 AWS Control Tower AWS 帳戶 相關聯;管理帳戶、稽核帳戶和日誌封存帳戶。這些帳戶通常稱為共用帳戶,有時稱為核心帳戶

  • 您可以在設定登陸區域時,為稽核和日誌封存帳戶選取自訂名稱。如需變更帳戶名稱的資訊,請參閱外部變更 AWS Control Tower 資源名稱

  • 您也可以在初始登陸區域設定程序期間,將現有的 指定 AWS 帳戶 為 AWS Control Tower 安全或記錄帳戶。此選項消除了 AWS Control Tower 建立新的共用帳戶的需求。(這是一次性選擇。)

如需共用帳戶及其相關資源的詳細資訊,請參閱在共用帳戶中建立的資源

管理帳戶

這會 AWS 帳戶 啟動 AWS Control Tower。根據預設,此帳戶的根使用者和此帳戶的 IAM使用者或IAM管理員使用者可完整存取登陸區域中的所有資源。

注意

最佳實務是,我們建議在 AWS Control Tower 主控台中執行管理函數時,以具有管理員權限的 IAM Identity Center 使用者身分登入,而不是以根使用者或此帳戶的IAM管理員使用者身分登入。

如需 管理帳戶中可用角色和資源的詳細資訊,請參閱 在共用帳戶中建立的資源

日誌存檔帳戶

日誌封存共用帳戶會在您建立登陸區域時自動設定。

此帳戶包含中央 Amazon S3 儲存貯體,用於儲存登陸區域中所有其他帳戶的所有 AWS CloudTrail 和 AWS Config 日誌檔案副本。最佳實務是,我們建議限制日誌封存帳戶對負責合規和調查的團隊及其相關安全或稽核工具的存取。此帳戶可用於自動化安全稽核,或託管自訂 AWS Config 規則,例如 Lambda 函數,以執行修補動作。

Amazon S3 儲存貯體政策

對於 AWS Control Tower 登陸區域 3.3 版及更新版本,帳戶必須符合對稽核儲存貯體的任何寫入許可aws:SourceOrgID的條件。此條件可確保 CloudTrail 只能代表您組織內的帳戶將日誌寫入 S3 儲存貯體;如此可防止組織外部的 CloudTrail 日誌寫入 AWS Control Tower S3 儲存貯體。如需詳細資訊,請參閱AWS Control Tower 登陸區域 3.3 版

如需日誌封存帳戶中可用角色和資源的詳細資訊,請參閱 日誌封存帳戶資源

注意

這些日誌無法變更。所有日誌都會儲存,以便進行與帳戶活動相關的稽核和合規調查。

稽核帳戶

此共用帳戶會在您建立登陸區域時自動設定。

稽核帳戶應僅限於具有稽核人員 (唯讀) 和管理員 (完整存取) 跨帳戶角色的安全和合規團隊,才能用於登陸區域中的所有帳戶。這些角色旨在供安全與合規團隊使用,以:

  • 透過 AWS 機制執行稽核,例如託管自訂 AWS Config 規則 Lambda 函數。

  • 執行自動化安全操作,例如修復動作。

稽核帳戶也會透過 Amazon Simple Notification Service (Amazon SNS) 服務接收通知。可接收三種類型的通知:

  • 所有組態事件 – 此主題會彙總來自登陸區域中所有帳戶的所有 CloudTrail 和 AWS Config 通知。

  • 彙總安全性通知 – 本主題彙總來自特定 CloudWatch 事件、 AWS Config 規則 合規狀態變更事件和 GuardDuty 調查結果的所有安全性通知。

  • 偏離通知 – 此主題會彙總所有帳戶、使用者OUs、 和 SCPs在您的登陸區域中發現的所有偏離警告。如需漂移的詳細資訊,請參閱 偵測並解決 AWS Control Tower 中的偏離

在成員帳戶內觸發的稽核通知也可以傳送提醒到本機 Amazon SNS主題。此功能可讓帳戶管理員訂閱個別成員帳戶特有的稽核通知。因此,管理員可以解決影響個別帳戶的問題,同時仍然將所有帳戶通知彙總到集中式稽核帳戶。如需詳細資訊,請參閱《Amazon Simple Notification Service 開發人員指南》。

如需稽核帳戶中可用角色和資源的詳細資訊,請參閱 稽核帳戶資源

如需程式設計稽核的詳細資訊,請參閱 AWS Control Tower 稽核帳戶的程式設計角色和信任關係

重要

您為稽核帳戶提供的電子郵件地址會從 AWS Control Tower AWS 區域 支援的每個 接收AWS 通知 - 訂閱確認電子郵件。若要在您的稽核帳戶中接收合規電子郵件,您必須從 AWS Control Tower AWS 區域 支援的每個電子郵件中選擇確認訂閱連結。