關於 AWS 帳戶 Con AWS trol Tower - AWS Control Tower
使用現有安全性或記錄帳戶的考量關於共享帳戶

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

關於 AWS 帳戶 Con AWS trol Tower

A AWS 帳戶 是您所有擁有資源的容器。這些資源包括帳戶接受的 AWS Identity and Access Management (IAM) 身分識別,用來決定誰有權存取該帳戶。IAM身分識別可以包括使用者、群組、角色等。如需使用 Control Tower 中的使用者IAM、角色和原則的詳細資訊,請參閱 AWS Control Tower 中AWS的身分識別與存取管理

資源和帳號建立時間

AWSControl Tower 建立或註冊帳號時,會為該帳號部署最低必要的資源設定,包括帳號 Account Factory 範本形式的資源,以及您 landing zone 中的其他資源。這些資源可能包括IAM角色、 AWS CloudTrail 追蹤、Service Catalog 佈建的產品,以及IAM身分識別中心使用者。AWSControl Tower 也會根據控制組態的要求,為新帳戶注定要成為成員帳戶的組織單位 (OU) 部署資源。

AWSControl Tower 代表您協調這些資源的部署。每個資源可能需要數分鐘才能完成部署,因此請在建立或註冊帳號之前考慮總時間。如需管理帳戶中資源的詳細資訊,請參閱建立和修改 AWS Control Tower 資源的指引

使用現有安全性或記錄帳戶的考量

在接受 AWS 帳戶 作為安全帳戶或記錄帳戶之前,AWSControl Tower 會檢查帳戶中是否有與 AWS Control Tower 要求衝突的資源。例如,您可能擁有與 AWS Control Tower 所需名稱相同的記錄值區。此外,AWSControl Tower 也會驗證帳戶是否可佈建資源;例如,確定 AWS Security Token Service (AWS STS) 已啟用、帳號未暫停,以及 Con AWS trol Tower 有權在帳戶內佈建資源。

AWSControl Tower 不會移除您提供的記錄和安全性帳戶中的任何現有資源。不過,如果您選擇啟用 AWS 區域 拒絕功能,區域拒絕控制會阻止存取拒絕區域中的資源。

關於共享帳戶

與AWS控制中心 AWS 帳戶 相關聯的三個特殊項目:管理帳戶、稽核帳戶和記錄存檔帳戶。這些帳戶通常稱為共享帳戶,有時也稱為核心帳戶

  • 您可以在設定 landing zone 時為稽核和記錄封存帳戶選取自訂名稱。如需變更帳號名稱的相關資訊,請參閱外部變更 AWS Control Tower 資源名稱

  • 您也可以在初始 landing zone 設定程序期間,將現有帳戶指定 AWS 帳戶 為 AWS Control Tower 安全性或記錄帳戶。這個選項讓 AWS Control Tower 不再需要建立新的共用帳戶。(這是一次性的選擇。)

如需共用帳戶及其相關資源的詳細資訊,請參閱在共享帳戶中創建的資源

管理帳戶

這將 AWS 帳戶 啟動 AWS Control Tower。根據預設,此帳戶的 root 使用者以及此帳號的IAM使用者或IAM系統管理員使用者可以完整存取您 landing zone 內的所有資源。

注意

最佳作法是,建議您在 Con AWS trol Tower 主控台內執行管理功能時,以具有管理員權限的 IAM Identity Center 使用者身分登入,而不是以 root 使用者或IAM系統管理員使用者身分登入此帳戶。

如需管理帳戶中可用角色和資源的詳細資訊,請參閱在共享帳戶中創建的資源

日誌存檔帳戶

記錄封存共用帳戶會在您建立 landing zone 時自動設定。

此帳戶包含一個中央 Amazon S3 儲存貯體,用於存放 landing zone 域中所有其他帳戶的所有其他帳戶的副本 AWS CloudTrail 和 AWS Config 日誌檔。最佳作法是,我們建議將記錄封存帳戶存取限制為負責合規性和調查的團隊,以及其相關安全性或稽核工具。此帳戶可用於自動化安全稽核,或託管自訂 AWS Config 規則(例如 Lambda 函數) 以執行修復動作。

Amazon S3 存儲桶政策

對於 AWS Control Tower 3.3 版及更新版本的 landing zone,帳戶必須符合您稽核值區的任何寫入權限的aws:SourceOrgID條件。這種情況可確保 CloudTrail 只能代表組織內的帳戶將日誌寫入 S3 儲存貯體;它可防止組織外部的 CloudTrail 日誌寫入 AWS Control Tower S3 儲存貯體。如需詳細資訊,請參閱AWSControl Tower landing zone 3.3 版

如需記錄封存帳戶中可用角色和資源的詳細資訊,請參閱 記錄封存帳號資源

注意

無法變更這些記錄檔。所有記錄都會儲存在與帳戶活動相關的稽核和合規性調查之用。

稽核帳戶

此共享帳戶會在您建立 landing zone 時自動設定。

稽核帳戶應該僅限於安全性和規範遵循團隊,其稽核人員 (唯讀) 和系統管理員 (完全存取) 跨帳戶角色可存取 landing zone 中所有帳戶。這些角色旨在供安全性和規範遵循團隊用於:

  • 透過 AWS 機制執行稽核,例如託管自訂 AWS Config 規則 Lambda 函數。

  • 執行自動化安全作業,例如補救動作。

稽核帳戶也會透過 Amazon 簡單通知服務 (AmazonSNS) 服務接收通知。可以收到三種類別的通知:

  • 所有組態事件 — 本主題彙總了 landing zone 中所有帳戶的所有 AWS Config 通知 CloudTrail 和通知。

  • 彙總安全性通知 — 本主題彙總來自特定 CloudWatch 事件、 AWS Config 規則 規範遵循狀態變更事件和 GuardDuty 發現項目的所有安全性通知。

  • 漂移通知 — 本主題匯總了在所有帳戶,用戶和您的 landing zone SCPs 中發現的所有漂移警告。OUs如需漂移的詳細資訊,請參閱偵測並解決 AWS Control Tower 中的漂移

在成員帳戶中觸發的稽核通知也可以傳送警示給本地 Amazon SNS 主題。此功能可讓帳戶管理員訂閱個別成員帳戶特定的稽核通知。因此,管理員可以解決影響個別帳戶的問題,同時仍將所有帳戶通知彙總到您的集中式稽核帳戶。如需詳細資訊,請參閱《Amazon Simple Notification Service 開發人員指南》。

如需稽核帳號中可用角色和資源的詳細資訊,請參閱稽核帳號資源

如需程式化稽核的詳細資訊,請參閱AWS控制中心稽核帳戶的程式化角色和信任關係

重要

您為審計帳戶提供的電子郵件地址會收到來自AWS控制中心 AWS 區域 支持的每封「AWS 通知-訂閱確認」電子郵件。若要在稽核帳戶中接收合規性電子郵件,您必須從 Con AWS trol Tower AWS 區域 支援的每封電子郵件中選擇 [確認訂閱] 連結。