AWS Control Tower 的運作方式 - AWS Control Tower
AWS Control Tower 登陸區的結構設定 landing zone 時會發生什麼情況什麼是共享帳戶?控制項如何運作AWS Control Tower 如何搭配使用 StackSets

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Control Tower 的運作方式

本節將詳細介紹 AWS Control Tower 的運作方式。您的 landing zone 是一個架構良好的多帳戶環境,可存放所有資源。 AWS 您可以使用此環境對所有 AWS 帳戶強制執行法規遵循法規。

AWS Control Tower 登陸區的結構

AWS Control Tower 中的 landing zone 結構如下:

  • — 包含 landing zone 域中所有其他 OU 的父系。

  • 安全性 OU — 此 OU 包含記錄封存和稽核帳戶。這些帳戶通常稱為共用帳戶。啟動 landing zone 時,您可以為這些共用帳戶選擇自訂名稱,並且可以選擇將現有 AWS 帳戶帶入 AWS Control Tower 以進行安全和記錄。不過,這些帳戶無法在稍後重新命名,並且在初始啟動之後,無法新增現有帳戶以確保安全性和記錄。

  • 沙箱 OU — 沙箱 OU 會在您啟動 landing zone 時建立 (如果您啟用此功能)。這個和其他已註冊的 OU 包含您的使用者用來執行其 AWS 工作負載的已註冊帳戶。

  • IAM 身分中心目錄 — 此目錄存放您的 IAM 身分中心使用者。它定義了每個 IAM 身分中心使用者的許可範圍。

  • IAM 身分中心使用者 — 這些是您的使用者在 landing zone 執行 AWS 工作負載時可假設的身分識別。

設定 landing zone 時會發生什麼情況

當您設定 landing zone 域時,AWS Control Tower 會代表您在管理帳戶中執行下列動作:

  • 建立兩個 AWS Organizations 組織單位 (OU):安全性和沙箱 (選用),包含在組織根結構中。

  • 在安全性 OU 中建立或新增兩個共用帳戶:記錄封存帳戶和稽核帳戶。

  • 如果您選擇預設的 AWS Control Tower 組態,或允許您自行管理身分供應商,請在 IAM 身分中心建立具有預先設定群組和單一登入存取權的雲端原生目錄。

  • 套用所有強制性、預防性控制以強制執行原則。

  • 套用所有必要的偵測控制項,以偵測組態違規。

  • 預防性控制不會套用至管理帳戶。

  • 除了管理帳戶外,控制項會套用至整個組織。

在 AWS Control Tower 登陸區域和帳戶內安全管理資源

  • 當您建立 landing zone 域時,會建立許多 AWS 資源。若要使用 AWS Control Teck,您不得修改或刪除本指南所述支援的方法以外的這些 AWS Control Tower 受管資源。刪除或修改這些資源將導致您的 landing zone 進入未知狀態。如需詳細資訊,請參閱建立和修改 AWS Control Tower 資源的指引

  • 當您啟用選用的控制項 (具有強烈建議或選擇性指導的控制項) 時,AWS Control Tower 會建立在您帳戶中管理的 AWS 資源。請勿修改或刪除 AWS Control Tower 建立的資源。這樣做可能會導致控制項進入未知的狀態。

什麼是共享帳戶?

在 AWS Control Tower 中,系統會在設定期間佈建 landing zone 域中的共用帳戶:管理帳戶、日誌存檔帳戶和稽核帳戶。

什麼是管理帳戶?

這是您專門為 landing zone 建立的帳戶。此帳戶用於為您的 landing zone 中的所有內容計費。它也可用於 Account Factory 佈建帳戶,以及管理 OU 和控制項。

注意

不建議從 AWS Control Tower 管理帳戶執行任何類型的生產工作負載。建立個別的 AWS Control Tower 帳戶來執行工作負載。

如需詳細資訊,請參閱 管理帳戶

什麼是日誌存檔帳戶?

此帳戶可做為 landing zone 中所有帳號之 API 活動記錄和資源設定的儲存庫。

如需詳細資訊,請參閱 日誌存檔帳戶

什麼是審計帳戶?

稽核帳戶是受限制的帳戶,旨在讓安全性和法規遵循團隊讀取和寫入您 landing zone 中所有帳戶的權限。您可以從稽核帳戶透過僅授與 Lambda 函數的角色,以程式設計方式存取審核帳戶。稽核帳戶不允許您手動登入其他帳戶。如需 Lambda 函數和角色的詳細資訊,請參閱設定 Lambda 函數以擔任另一個函數的角色 AWS 帳戶。

如需詳細資訊,請參閱 稽核帳戶

控制項如何運作

控制項是一項高階規則,可為您的整體 AWS 環境提供持續的治理。每個控制項都會強制執行單一規則,並以簡單的語言表示。您可以隨時從 AWS Control Tower 主控台或 AWS Control Tower API 變更生效的選擇性或強烈建議的控制。一律套用強制控制項,而且無法變更。

預防性控制可防止動作發生。例如,名為「不允許變更 Amazon S3 儲存貯體政策」的選擇性控制項 (先前稱為「不允許變更日誌存檔政策」) 可防止日誌存檔共用帳戶中的任何 IAM 政策變更。任何嘗試執行已阻止的動作都會遭到拒絕並登入 CloudTrail。資源也會登入 AWS Config。

Detective 測控制項會偵測特定事件發生時,並將動作記錄在中CloudTrail。例如,強烈建議使用名為「偵測是否為連接到 Amazon Amazon EC2 執行個體的 Amazon EBS 磁碟區啟用加密」控制項,可偵測未加密的 Amazon EBS 磁碟區是否已連接到 landing zone 中的 EC2 執行個體。

在您的帳戶中佈建資源之前,主動控制會先檢查資源是否符合貴公司的政策和目標。如果資源不符合性,則不會佈建它們。主動式控制會透過 AWS CloudFormation 範本監控將部署在您帳戶中的資源。

對於熟悉的人 AWS:在 AWS Control Tower 中,預防控制是透過服務控制政策 (SCP) 來實作。Detective 控制項是透過 AWS Config 規則來實作。主動控制是通過 AWS CloudFormation 鉤子實現的。

AWS Control Tower 如何搭配使用 StackSets

AWS Control Tower 用 AWS CloudFormation StackSets 於在您的帳戶中設定資源。每個堆棧集都具 StackInstances 有對應於帳戶和 AWS 區域 每個帳戶。AWS Control Tower 會為每個帳戶和區域部署一個堆疊集執行個體。

AWS Control Tower 將更新套用至特定帳戶,並根據 AWS CloudFormation 參數 AWS 區域 選擇性地套用更新。當更新套用至某些堆疊執行個體時,其他堆疊執行個體可能會留在 Outdated (過期) 狀態。這種行為是預期之中,且是正常的。

當堆疊執行個體進入 Outdated (過期) 狀態時,這通常表示對應於該堆疊執行個體的堆疊與堆疊集中的最新範本不符。堆疊會保留在較舊的範本中,因此可能不會包含最新的資源或參數。堆疊仍然完全可用。

以下是根據更新期間指定的 AWS CloudFormation 參數,快速摘要說明預期的行為:

如果堆疊集更新包含對範本的變更 (亦即,如果指定了或屬性),TemplateBody或者如果已指定TemplateURL屬性,則會在更新指定帳戶中的堆疊執行個體和之前,將狀態為「過期」的所有堆疊執行個體 AWS CloudFormation 標記為「過期」的堆疊執行個體 AWS 區域。Parameters如果堆疊集更新不包含範本或參數的變更,請 AWS CloudFormation 更新指定帳戶和區域中的堆疊執行個體,同時保留所有其他堆疊執行個體的現有堆疊執行個體狀態。若要更新與堆疊集相關聯的所有堆疊執行個體,請勿指定 AccountsRegions 屬性。

如需詳細資訊,請參閱《使用指南》中的 AWS CloudFormation 〈更新堆疊集〉。