使用 Terraform 部署和管理 AWS Control Tower 控制項 - AWS 方案指引
Summary先決條件和限制架構工具最佳實務史詩故障診斷相關資源其他資訊

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Terraform 部署和管理 AWS Control Tower 控制項

由 Iker Reina Fuente (AWS) 和 Ivan Girardi (AWS) 建立

Summary

此模式說明如何使用 AWS Control Tower 控制項、 HashiCorp Terraform 和基礎設施做為程式碼 (IaC) 來實作和管理預防性、偵測性和主動式安全控制。控制項 (也稱為護欄) 是高階規則,可為您的整體 AWS Control Tower 環境提供持續的控管。例如,您可以使用控制項來要求記錄您的 , AWS 帳戶 然後在發生特定安全相關事件時設定自動通知。

AWS Control Tower 可協助您實作預防性、偵測性和主動性控制,以管理 資源並監控多個 AWS 資源的合規性 AWS 帳戶。每個控制項都會強制執行單一規則。在此模式中,您可以使用提供的 IaC 範本來指定要在環境中部署的控制項。

AWS Control Tower 控制項適用於整個組織單位 (OU),而控制項會影響 OU AWS 帳戶 中的每個單位。因此,當使用者在您登陸區域的任何帳戶中執行任何動作時,該動作會受到 OU 的控制。

實作 AWS Control Tower 控制項有助於為您的 AWS 登陸區域建立強大的安全基礎。透過使用此模式透過 Terraform 將控制項部署為 IaC,您可以標準化登陸區域中的控制項,並更有效率地部署和管理它們。

若要將 AWS Control Tower 控制項部署為 IaC,您也可以使用 AWS Cloud Development Kit (AWS CDK) 而非 Terraform。如需詳細資訊,請參閱使用 和 部署和管理 AWS Control Tower 控制項 AWS CDKAWS CloudFormation

目標對象

對於具有 AWS Control Tower、Terraform 和 經驗的使用者,建議使用此模式 AWS Organizations。

先決條件和限制

先決條件

  • 作為 AWS Organizations 和 AWS Control Tower 登陸區域中的組織進行主動 AWS 帳戶 管理。如需說明,請參閱 AWS Control Tower 文件中的入門

  • AWS Command Line Interface (AWS CLI),已安裝設定

  • 管理帳戶中具有部署此模式許可的 AWS Identity and Access Management (IAM) 角色。如需必要許可和範例政策的詳細資訊,請參閱此模式之其他資訊區段中IAM角色的最低權限許可

  • 在管理帳戶中擔任IAM角色的許可。

  • 使用識別符 CT 套用服務控制政策 (SCP) 型控制。 CLOUDFORMATIONPR.1. SCP 必須啟用此功能才能部署主動控制。如需說明,請參閱不允許管理 AWS CloudFormation 登錄檔中的資源類型、模組和掛鉤

  • Terraform CLI,已安裝 (Terraform 文件)。

  • Terraform AWS 提供者,已設定 (Terraform 文件)。

  • Terraform 後端,已設定 (Terraform 文件)。

限制

  • 對於 AWS Control Tower 控制項,此模式需要使用下列格式的全域識別碼

    arn:<PARTITION>:controlcatalog:::control/<CONTROL_CATALOG_OPAQUE_ID>

    此模式的先前版本使用不再支援的區域識別符。我們建議您從區域識別符遷移到全域識別符。全域識別碼可協助您管理控制項,並擴展您可以使用的控制項數量。

    注意

    在大多數情況下, 的值<PARTITION>aws

產品版本

  • AWS Control Tower 3.2 版或更新版本

  • Terraform 1.5 版或更新版本

  • Terraform AWS 提供者 4.67 版或更新版本

架構

本節提供此解決方案的高階概觀,以及範例程式碼建立的架構。下圖顯示部署在 OU 中各種帳戶的控制項。

部署在組織單位中所有AWS帳戶的控制項架構圖。

AWS Control Tower 控制項會根據其行為及其指引進行分類。

控制行為有三種主要類型:

  1. 預防性控制旨在防止動作發生。這些會在 中使用服務控制政策 (SCPs)資源控制政策 (RCPs) 實作 AWS Organizations。預防性控制的狀態為強制執行或未啟用。所有 都支援預防性控制 AWS 區域。

  2. Detective 控制項旨在偵測特定事件何時發生,並記錄動作 AWS CloudTrail。這些是使用 AWS Config 規則實作的。偵測性控制項的狀態為清楚違規或未啟用。Detective 控制項僅適用於 AWS 區域 支援的控制項 AWS Control Tower。

  3. 主動控制 佈建的掃描資源 AWS CloudFormation ,並檢查它們是否符合您的公司政策和目標。不會佈建不合規的資源。這些是使用AWS CloudFormation 勾點實作的。主動控制的狀態為 PASSFAILSKIP

控制指引是將每個控制項套用至 的建議實務OUs。 AWS Control Tower 提供三種類型的指引:強制性強烈建議選擇性。控制項的指引與其行為無關。如需詳細資訊,請參閱控制行為和指導

工具

AWS 服務

  • AWS CloudFormation 可協助您設定 AWS 資源、快速且一致地佈建資源,以及在整個 AWS 帳戶 和 區域的生命週期中管理資源。

  • AWS Config 提供 中資源的詳細檢視, AWS 帳戶 以及如何設定這些資源。它可協助您識別資源彼此之間的關係,以及其組態如何隨著時間而改變。

  • AWS Control Tower 可協助您設定和管理 AWS 多帳戶環境,並遵循規範最佳實務。

  • AWS Organizations 是一種帳戶管理服務,可協助您將多個 合併 AWS 帳戶 到您建立並集中管理的組織。

其他工具

  • HashiCorp Terraform 是一種開放原始碼基礎設施做為程式碼 (IaC) 工具,可協助您使用程式碼來佈建和管理雲端基礎設施和資源。

程式碼儲存庫

此模式的程式碼可在 GitHub Deploy 中使用,並使用 Terraform 儲存庫管理 AWS Control Tower 控制項

最佳實務

史詩

任務描述所需的技能

複製儲存庫。

在 bash shell 中,輸入下列命令。這會使用 Terraform 儲存庫從中複製部署和管理 AWS Control Tower 控制項 GitHub。

git clone https://github.com/aws-samples/aws-control-tower-controls-terraform.git
DevOps 工程師

編輯 Terraform 後端組態檔案。

  1. 在複製的儲存庫中,開啟 backend.tf 檔案。

  2. 編輯 檔案以設定 Terraform 後端組態。您在此檔案中定義的組態取決於您的環境。如需詳細資訊,請參閱後端組態 (Terraform 文件)。 

  3. 儲存並關閉 backend.tf 檔案。

DevOps 工程師,Terraform

編輯 Terraform 提供者組態檔案。

  1. 在複製的儲存庫中,開啟 provider.tf 檔案。

  2. 編輯 檔案以設定 Terraform 提供者組態。如需詳細資訊,請參閱提供者組態 (Terraform 文件)。 AWS 區域 將 設定為可使用 AWS Control Tower API的區域。

  3. 儲存並關閉 provider.tf 檔案。

DevOps 工程師,Terraform

編輯組態檔案。

  1. 在複製的儲存庫中,開啟 variables.tfvars 檔案。

  2. 開啟 AWS Control Tower 文件中的所有全域識別碼

  3. 在 JSON格式化清單中,找到您要實作的控制項,然後複製其全域識別碼 (也稱為 {CONTROL_CATALOGOPAQUE_ID} 值)。例如,AWS-GR_AUDIT_BUCKET_ENCRYPTION_ENABLED 控制項的全域識別碼為 k4izcjxhukijhajp6ks5mjxk

  4. controls區段的 control_names 參數中,輸入您複製的全域識別碼。

  5. controls區段的 organizational_unit_ids 參數中,輸入您要啟用控制項的組織單位 ID,例如 ou-1111-11111111。以雙引號輸入 ID,並以IDs逗號分隔多個 ID。如需如何擷取 OU 的詳細資訊IDs,請參閱檢視 OU 的詳細資訊

  6. 儲存並關閉 variables.tfvars 檔案。如需更新的 variables.tfvars 檔案範例,請參閱此模式的其他資訊一節。

DevOps 工程師、一般 AWS、Terraform

擔任 管理帳戶中IAM的角色。

在管理帳戶中,擔任具有部署 Terraform 組態檔案許可IAM的角色。如需所需許可和範例政策的詳細資訊,請參閱其他資訊區段中IAM角色的最低權限許可。如需在 中擔任IAM角色的詳細資訊 AWS CLI,請參閱在 中使用IAM角色 AWS CLI

DevOps 工程師,一般 AWS

部署組態檔案。

  1. 輸入下列命令以初始化 Terraform。

    $ terraform init -upgrade

  2. 輸入下列命令,以預覽相較於目前狀態的變更。

    $ terraform plan -var-file="variables.tfvars"

  3. 檢閱 Terraform 計劃中的組態變更,並確認您想要在組織中實作這些變更。

  4. 輸入下列命令以部署 資源。

    $ terraform apply -var-file="variables.tfvars"
DevOps 工程師、一般 AWS、Terraform
任務描述所需的技能

執行 destroy 命令。

輸入下列命令以移除此模式部署的資源。

$ terraform destroy -var-file="variables.tfvars"
DevOps 工程師、一般 AWS、Terraform

故障診斷

問題解決方案

Error: creating ControlTower Control ValidationException: Guardrail <control ID> is already enabled on organizational unit <OU ID> 錯誤

您嘗試啟用的控制項已在目標 OU 中啟用。如果使用者透過 AWS Management Console、 AWS Control Tower 或 手動啟用控制項,則可能會發生此錯誤 AWS Organizations。若要部署 Terraform 組態檔案,您可以使用下列其中一個選項。

選項 1:更新 Terraform 目前狀態檔案

您可以將資源匯入至 Terraform 目前狀態檔案。當您重新執行apply命令時,Terraform 會略過此資源。執行下列動作,將資源匯入至目前的 Terraform 狀態:

  1. 在 AWS Control Tower 管理帳戶中,輸入下列命令來擷取 的 Amazon Resource Name (ARNs) 清單OUs,其中 <root-ID>是組織根。如需擷取此 ID 的詳細資訊,請參閱檢視根的詳細資訊。

    aws organizations list-organizational-units-for-parent --parent-id <root-ID>

  2. 針對上一個步驟傳回的每個 OU,輸入下列命令,其中 <OU-ARN>是 OU ARN的 。

    aws controltower list-enabled-controls --target-identifier <OU-ARN>

  3. 複製 ARNs並在所需的模組中執行 Terraform 匯入,使其包含在 Terraform 狀態中。如需說明,請參閱匯入 (Terraform 文件)。

  4. Epics 區段中重複部署組態中的步驟。

選項 2:停用控制項

如果您在非生產環境中工作,您可以在 主控台中停用控制項。在 Epics 區段中重複部署組態中的步驟,以重新啟用它。此方法不建議用於生產環境,因為有一段時間的控制項將被停用。如果您想要在生產環境中使用此選項,您可以實作暫時控制,例如暫時套用 SCP AWS Organizations。

相關資源

AWS 文件

其他資源

其他資訊

範例 variables.tfvars 檔案

以下是已更新 variables.tfvars 檔案的範例。此範例會啟用 AWS-GR_ENCRYPTED_VOLUMES 控制項 (全域 ID:503uicglhjkokaajywfpt6ros) 和 AWS-GR_SUBNET_AUTO_ASSIGNPUBLIC_IP_DISABLED 控制項 (全域 ID:50z1ot237wl8u1lv5ufau6qqo)。如需全域 的清單IDs,請參閱 AWS Control Tower 文件中的所有全域識別碼

controls = [
    {
        control_names = [
            "503uicglhjkokaajywfpt6ros",
            ...
        ],
        organizational_unit_ids = ["ou-1111-11111111", "ou-2222-22222222"...],
    },
    {
        control_names = [
            "50z1ot237wl8u1lv5ufau6qqo",
            ...
        ],
        organizational_unit_ids = ["ou-1111-11111111"...],
    },
]

IAM角色的最低權限許可

此模式需要您在 管理帳戶中擔任 IAM角色。最佳實務是擔任具有暫時許可的角色,並根據最低權限原則限制許可。下列範例政策允許啟用或停用 AWS Control Tower 控制項所需的最低動作。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "controltower:EnableControl",
                "controltower:DisableControl",
                "controltower:GetControlOperation",
                "controltower:ListEnabledControls",
                "organizations:AttachPolicy",
                "organizations:CreatePolicy",
                "organizations:DeletePolicy",
                "organizations:DescribeOrganization",
                "organizations:DetachPolicy",
                "organizations:ListAccounts",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListChildren",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListParents",
                "organizations:ListPoliciesForTarget",
                "organizations:ListRoots",
                "organizations:UpdatePolicy"
            ],
            "Resource": "*"
        }
    ]
}