AWS Control Tower 的運作方式 - AWS Control Tower
AWS Control Tower 登陸區域的結構設定登陸區域時會發生什麼情況什麼是共用帳戶?控制的運作方式AWS Control Tower 如何使用 StackSets

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Control Tower 的運作方式

本節在高階描述 AWS Control Tower 的運作方式。您的登陸區域是所有 AWS 資源的架構良好的多帳戶環境。您可以使用此環境來強制執行所有 AWS 帳戶的合規法規。

AWS Control Tower 登陸區域的結構

AWS Control Tower 中登陸區域的結構如下:

  • — 在您的登陸區域中包含所有其他 OUs 的父系。

  • 安全性 OU – 此 OU 包含日誌封存和稽核帳戶。這些帳戶通常稱為共用帳戶。當您啟動登陸區域時,您可以選擇這些共用帳戶的自訂名稱,而且您可以選擇將現有 AWS 帳戶帶入 AWS Control Tower 以維護安全性和記錄。不過,這些項目稍後無法重新命名,而且在初始啟動後,為了安全性和記錄,無法新增現有帳戶。

  • 沙盒 OU – 如果您啟用沙盒 OU,會在啟動登陸區域時建立。此 和其他註冊OUs包含您的使用者用來執行AWS工作負載的註冊帳戶。

  • IAM Identity Center 目錄 – 此目錄存放您的 IAM Identity Center 使用者。它定義了每個 IAM Identity Center 使用者的許可範圍。

  • IAM Identity Center 使用者 – 這些是您的使用者可在登陸區域中執行 AWS 工作負載時所能擔任的身分。

設定登陸區域時會發生什麼情況

當您設定登陸區域時,AWSControl Tower 會在您的管理帳戶中代表您執行下列動作:

  • 建立組織根結構中包含的兩個 AWS Organizations 組織單位 (OUs):安全性和沙盒 (選用)。

  • 在安全 OU 中建立或新增兩個共用帳戶:Log Archive 帳戶和 Audit 帳戶。

  • 如果您選擇預設 AWS Control Tower 組態,或允許您自行管理身分提供者,即可在 IAM Identity Center 中建立雲端原生目錄,其中包含預先設定的群組和單一登入存取。

  • 套用所有必要的預防性控制,以強制執行政策。

  • 套用所有必要的偵測性控制項來偵測組態違規。

  • 預防性控制不會套用至 管理帳戶。

  • 除了 管理帳戶之外,控制項會套用到整個組織。

安全地管理 AWS Control Tower 登陸區域和帳戶中的資源

  • 當您建立登陸區域時,會建立許多 AWS 資源。若要使用 AWS Control Tower,您不得在本指南所述支援的方法之外修改或刪除這些 AWS Control Tower 受管資源。刪除或修改這些資源會導致您的登陸區域進入未知狀態。如需詳細資訊,請參閱建立和修改 AWS Control Tower 資源的指引

  • 當您啟用選用控制項 (具有強烈建議或選擇性指導的控制項) 時,AWSControl Tower 會建立它在帳戶中管理 AWS 的資源。請勿修改或刪除 AWS Control Tower 建立的資源。這樣做可能會導致控制項進入未知狀態。

什麼是共用帳戶?

在 AWS Control Tower 中,您登陸區域中的共用帳戶會在設定期間佈建:管理帳戶、日誌封存帳戶和稽核帳戶。

什麼是管理帳戶?

這是您專為登陸區域建立的帳戶。此帳戶用於支付登陸區域中所有項目的帳單。它也用於帳戶之 Account Factory 佈建,以及管理和OUs控制。

注意

不建議從 AWS Control Tower 管理帳戶執行任何類型的生產工作負載。建立單獨的 AWS Control Tower 帳戶來執行工作負載。

如需詳細資訊,請參閱管理帳戶

什麼是日誌封存帳戶?

此帳戶可做為登陸區域中所有帳戶API的活動和資源組態日誌的儲存庫。

如需詳細資訊,請參閱日誌存檔帳戶

什麼是稽核帳戶?

稽核帳戶是受限制的帳戶,旨在讓您的安全和合規團隊讀取和寫入您登陸區域中所有帳戶的存取權。您可以從稽核帳戶透過僅授與 Lambda 函數的角色,以程式設計方式存取審核帳戶。稽核帳戶不允許您手動登入其他帳戶。如需 Lambda 函數和角色的詳細資訊,請參閱設定 Lambda 函數以從另一個函數擔任角色 AWS 帳戶

如需詳細資訊,請參閱稽核帳戶

控制的運作方式

控制項是高階規則,可為您的整體 AWS 環境提供持續的控管。每個控制項都會強制執行單一規則,並以純語言表示。您可以隨時從 AWS Control Tower 主控台或 AWS Control Tower 變更有效的選擇性或強烈建議的控制項APIs。一律套用強制性控制項,且無法變更。

預防性控制可防止動作發生。例如,名為不允許 Amazon S3 儲存貯體的儲存貯體政策變更 (先前稱為不允許政策變更為日誌封存) 的選擇性控制可防止日誌封存共用帳戶中的任何IAM政策變更。任何執行遭防止動作的嘗試都會遭到拒絕,並在 CloudTrail 中記錄。資源也會登入 AWS Config。

Detective 控制項會在特定事件發生時偵測,並在 中記錄動作CloudTrail。例如,針對連接至 Amazon EC2執行個體的 Amazon EBS磁碟區啟用加密時,強烈建議的控制項會偵測未加密的 Amazon EBS磁碟區是否連接至登陸區域中的EC2執行個體。

在帳戶中佈建資源之前,主動控制會檢查資源是否符合您的公司政策和目標。如果資源不合規,則不會佈建這些資源。主動控制會透過 AWS CloudFormation 範本來監控部署在帳戶中的資源。

對於熟悉的人 AWS:在 AWS Control Tower 中,預防性控制會使用服務控制政策 () 實作SCPs。Detective 控制項是使用 AWS Config 規則實作。主動控制會使用 AWS CloudFormation 勾點實作。

AWS Control Tower 如何使用 StackSets

AWS Control Tower 使用 AWS CloudFormation StackSets 來設定您帳戶中的資源。每個堆疊集都有 StackInstances 對應至 帳戶,以及對應至 AWS 區域 每個 帳戶。 AWSControl Tower 會為每個帳戶和區域部署一個堆疊集執行個體。

AWS Control Tower 會根據 AWS CloudFormation 參數, AWS 區域 選擇性地將更新套用至特定帳戶。當更新套用至某些堆疊執行個體時,其他堆疊執行個體可能會留在 Outdated (過期) 狀態。這種行為是預期之中,且是正常的。

當堆疊執行個體進入 Outdated (過期) 狀態時,這通常表示對應於該堆疊執行個體的堆疊與堆疊集中的最新範本不符。堆疊會保留在較舊的範本中,因此可能不會包含最新的資源或參數。堆疊仍然完全可用。

以下是根據 AWS CloudFormation 更新期間指定的參數,預期行為的快速摘要:

如果堆疊集更新包含對範本的變更 (亦即,如果指定 TemplateBodyTemplateURL 屬性),或者如果指定 Parameters 屬性,則在更新指定帳戶中的堆疊執行個體之前, 會 AWS CloudFormation 標記狀態為過期的所有堆疊執行個體,以及 AWS 區域。如果堆疊集更新不包含範本或參數的變更, 會 AWS CloudFormation 更新指定帳戶和區域中的堆疊執行個體,同時讓所有其他堆疊執行個體保持其現有的堆疊執行個體狀態。若要更新與堆疊集相關聯的所有堆疊執行個體,請勿指定 AccountsRegions 屬性。

如需詳細資訊,請參閱 AWS CloudFormation 《 使用者指南》中的更新您的堆疊集