什麼是 AWS Control Tower? - AWS Control Tower
功能AWS Control Tower 如何與其他服務互 AWS 動您是 AWS Control Tower 的首次使用者嗎?

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

什麼是 AWS Control Tower?

AWS Control Tower 提供簡單的方法,可按照規範的最佳實務來設定和管理 AWS 多帳戶環境。AWS Control Tower 可協調其他多項AWS 服務的功能 AWS Organizations,包括和 AWS Service Catalog AWS IAM Identity Center,在不到一小時的時間內建立 landing zone。資源是代表您設置和管理的。

AWS Control Tower 協調流程可擴展的 AWS Organizations功能。為了協助您的組織和帳戶免於離最佳實務,AWS Control Tower 會套用控制項 (有時稱為護欄)。例如,您可以使用控制項來協助確保已建立安全性記錄檔和必要的跨帳戶存取權限,而且不會變更。

如果您託管的帳戶數量不止一些,那麼擁有可促進帳戶部署和帳戶管理的協調流程層是有益的。您可以採用 AWS Control Tower 作為佈建帳戶和基礎設施的主要方式。使用 AWS Control Tower,您可以更輕鬆地遵守企業標準、符合法規要求,並遵循最佳實務。

AWS Control Tower 可讓分散式團隊中的最終使用者透過 Account Factory 中的可設定帳戶範本,快速佈建新 AWS 帳戶。同時,您的中央雲端管理員可以監控所有帳戶是否符合公司範圍內既定的合規性原則。

簡而言之,AWS Control Tower 根據與數千家企業合作所建立的最佳實務,提供最簡單的方式來設定和管理安全、合規的多帳戶 AWS 環境。如需使用 AWS Control Tower 的詳細資訊,以及 AWS 多帳戶策略中概述的最佳實務,請參閱AWS 多帳戶策略:最佳做法指南

功能

AWS Control Tower 具有以下功能:

  • landing zone:登陸區是一個架構良好的多帳戶環境,以安全性和合規性最佳做法為基礎。它是整個企業的容器,可容納您希望遵守法規遵循的所有組織單位 (OU)、帳戶、使用者和其他資源。登陸區域可以擴展至符合任何大小企業的需求。

  • 控制 — 控制項 (有時稱為護欄) 是一種高階規則,可為您的整體 AWS 環境提供持續的治理。其表示的方式是普通語言。存在三種控制:預防性偵探主動。三種類別的指引適用於控制:強制性強烈建議選修科目。如需控制項的詳細資訊,請參閱控制項如何運作

  • Account Factory — Account Factory 是可設定的帳戶範本,可協助使用預先核准的帳戶設定來標準化新帳戶的佈建。AWS Control Tower 提供內建的 Account Factory,可協助自動化組織中的帳戶佈建工作流程。如需詳細資訊,請參閱 使用 Account Factory 佈建和管理帳戶

  • 儀表板 — 儀表板可為您的中央雲端管理員團隊提供持續監督您的 landing zone。使用儀表板可查看整個企業中佈建的帳戶、針對原則強制執行啟用的控制項、為持續偵測原則不符合而啟用的控制項,以及依帳戶和 OU 組織的不符合標準資源。

AWS Control Tower 建立在受信任且可靠的 AWS 服務之上 AWS Service Catalog,包括 AWS IAM Identity Center、和 AWS Organizations。如需詳細資訊,請參閱 整合服務

您可以將 AWS Control Tower 與其他 AWS 服務合併到可協助您將現有工作負載遷移到的解決方案中 AWS。如需詳細資訊,請參閱如何利用 AWS Control Tower 和將工作負載遷移 CloudEndure 到 AWS.

組態、控管與擴充性

  • 自動化帳戶組態:AWS Control Tower 透過 Account Factory (或稱「自動售貨機」) 自動化帳戶部署和註冊,該工廠是以抽象方式建置在中已佈建產品之上。 AWS Service CatalogAccount Factory 可以建立和註冊 AWS 帳戶,並將控制項和政策套用至這些帳戶的程序自動化。

  • 集中式控管:AWS Control Tower 透過運用的功能 AWS Organizations,建立一個框架,以確保在您的多帳戶環境中保持一致的合規性和管控。該 AWS Organizations 服務提供了管理多帳戶環境的基本功能,包括集中管理和管理帳戶,從 AWS Organizations API 創建帳戶以及服務控制策略(SCP)。

  • 擴充性:您可以直接在 AWS Control Town 主控台和 AWS Control Town 主控台中工作 AWS Organizations,建立或擴充自己的 AWS Control 塔環境。註冊現有組織並將現有帳戶註冊到 AWS Control Tower 後,您可以在 AWS Control Tower 中看到您的變更。您可以更新 AWS Control Tower landing zone 以反映您的變更。如果您的工作負載需要進一步的進階功能,您可以利用其他 AWS 合作夥伴解決方案和 AWS Control Tower。

您是 AWS Control Tower 的首次使用者嗎?

若您是第一次使用此服務,我們建議您閱讀以下內容:

  1. 如果您需要有關如何規劃和組織 landing zone 的詳細資訊,請參閱規劃您的 AWS Control Tower landing zoneAWS 適用於 AWS Control Tower landing zone 的多帳戶策略

  2. 若您已準備好建立第一個登陸區,請參閱開始使用 AWS Control Tower

  3. 如需漂移偵測和預防的資訊,請參閱偵測並解決 AWS Control Tower 中的漂移

  4. 如需安全詳細資訊,請參閱AWS Control Tower 中的安全性

  5. 如需更新 landing zone 和會員帳戶的資訊,請參閱AWS Control Tower 中的組態更新管理