本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
登陸區域加速器概觀
為了在 中建置符合國防資訊系統管理局 (DISA) 安全雲端運算架構 (SCCA) AWS 的登陸區域,您必須具備特定元素來協助您滿足最低需求。 AWS 已建立登陸區域加速器 (LZA),以協助您部署符合必要要求的登陸區域。使用 LZA解決方案,您可以使用一組組態檔案來部署環境。這些組態檔案可協助您專注於環境的交付,而不是學習每個人 AWS 服務 以及如何部署環境。
下圖顯示LZA部署中涉及的服務。這些數字表示工作流程,從修改組態檔案到 AWS 服務 工作負載帳戶中的 組態。
此解決方案的架構符合 AWS 最佳實務,並符合多個全球合規架構。與 等 服務協調使用時AWS Control Tower,此解決方案提供涵蓋 35 多個 AWS 服務 和 功能的全方位、低程式碼解決方案。具體而言,此解決方案可協助您管理多帳戶環境,該環境專為支援高度受規範的工作負載和複雜的合規要求而建置。 LZA可協助您建立具備安全、合規和操作功能的平台準備度。本指南包含有關使用此解決方案以支援符合美國 (US) 聯邦和國防部 (DoD) 指引的特定備註。
AWS 提供LZA解決方案做為使用 建置的開放原始碼專案AWS Cloud Development Kit (AWS CDK)。您可以直接將它安裝到您的環境,讓您完整存取基礎設施做為程式碼 (IaC) 解決方案。
透過簡化的組態檔案集,您可以:
-
設定其他功能、護欄和安全服務,例如AWS Config受管規則和AWS Security Hub。
-
透過 Amazon Virtual Private Cloud (AmazonVPC) AWS Transit Gateway和 等服務管理您的基礎聯網拓撲AWS Network Firewall。
-
使用 Account AWS Control Tower Factory 產生額外的工作負載帳戶。
使用登陸區域加速器不需要額外費用或預付承諾 AWS。您只需為您開啟 AWS 服務 的 支付費用,即可設定平台並操作護欄。此解決方案也可以支援非標準 AWS 分割區,包括 AWS GovCloud (US)、 AWS 機密和 AWS 最高機密區域。
重要
LZA 解決方案本身不會讓您合規。它提供基礎基礎設施,您可以從中整合其他補充解決方案。LZA 實作指南中包含的資訊並不詳盡。您必須檢閱、評估、評估和核准解決方案,以符合組織的特定安全功能、工具和組態。您和您的組織必須自行負責判斷哪些法規要求適用,並確保您符合所有要求。雖然此解決方案討論了技術和管理要求,但此解決方案無法協助您遵守非技術管理要求。
在 上規劃您的LZA部署 AWS
AWS 已建立詳細實作指南,以在其中部署登陸區域加速器 (LZA) 解決方案 AWS。如需架構圖和部署步驟的概觀,請參閱實作指南上的 AWS 登陸區域加速器中的架構圖。您的環境必須符合先決條件,才能部署解決方案。使用本指南中SCCA元件和需求章節中的要求,您可以在LZA實作指南中所述的部署選項之間進行選擇。
