使用 AWS Organizations 確保安全性 - AWS 規範指南

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS Organizations 確保安全性

通過進行簡短的調查來影響AWS安全參考架構(AWSSRA)的 future。

AWS Organizations 可協助您集中管理和控管您的環境,同時擴展和擴展 AWS 資源。透過使用 AWS Organizations Organization,您可以透過程式設計方式建立新的 AWS 帳戶、分配資源、群組帳戶來組織工作負載,以及將政策套用至帳戶或帳戶群組以進行管理。AWS 組織會整合您的 AWS 帳戶,讓您以單一單位的形式管理這些帳戶。它有一個管理帳戶以及零個或多個成員帳戶。您的大部分工作負載都位於成員帳戶中,但必須位於管理帳戶或指派為特定 AWS 服務委派管理員的帳戶中的某些集中管理程序除外。您可以從中央位置為安全團隊提供工具和存取權,以代表 AWS 組織管理安全需求。您可以在 AWS 組織內共用關鍵資源,以減少資源重複。您可以將帳戶分組到 AWS 組織單位 (OU) 中,這些單位可以根據工作負載的需求和用途代表不同的環境。

透過 AWS Organizations,您可以使用服務控制政策 (SCP) 在 AWS 組織、OU 或帳戶層級套用許可保護。這些防護套用至組織帳戶內的主體,但管理帳戶除外 (這是不在此帳戶中執行工作負載的原因之一)。當您將 SCP 附加至 OU 時,子 OU 和 OU 下的帳戶會繼承它。SCP 不會授予任何權限。SCP 會改為指定 AWS 組織、OU 或帳戶的最大許可。您仍然需要將以身分為基礎或以資源為基礎的政策附加到 AWS 帳戶中的主體或資源,以實際授予他們許可。例如,如果 SCP 拒絕存取所有 Amazon S3,則受 SCP 影響的主體將無法存取 Amazon S3,即使透過 IAM 政策明確授予存取權。有關如何評估 IAM 政策、SCP 角色以及最終如何授予或拒絕存取權的詳細資訊,請參閱 IAM 文件中的政策評估邏輯。 

AWS Control Tower 提供簡化的方式來設定和管理多個帳戶。它會自動化 AWS 組織中的帳戶設定、自動佈建、套用護欄 (其中包括預防性和偵探控制),並提供儀表板以提供可見性。其他 IAM 管理政策 (許可界限) 會附加至特定 IAM 實體 (使用者或角色),並設定以身分為基礎的政策可授予 IAM 實體的最大許可。

AWS Organizations 可協助您設定適用於所有帳戶的 AWS 服務例如,您可以使用 AWS 為整個 AWS 組織執行的所有動作設定集中記錄 CloudTrail,並防止成員帳戶停用記錄。您也可以針對使用 AWS Config 定義的規則集中彙總資料,以便稽核工作負載以確保合規並快速回應變更。您可以使用 AWS CloudFormation StackSets 在 AWS 組織中跨帳戶和 OU 集中管理 AWS CloudFormation 堆疊,以便自動佈建新帳戶以符合安全要求。 

AWS Organizations 的預設組態支援使用 SCP 做為拒絕清單。透過使用拒絕清單策略,成員帳戶管理員可以委派所有服務和動作,直到您建立並附加拒絕特定服務或動作集的 SCP 為止。Deny 陳述式所需的維護比允許清單少,因為 AWS 新增服務時不需要更新陳述式。Deny 陳述式的字元長度通常較短,因此更容易保持在 SCP 的最大大小範圍內。在 Effect 元素的值為 Deny 的陳述式中,您也可以將存取限制在特定資源,或是定義決定 SCP 何時生效的條件。相反地,SCP 中的 Allow 陳述式會套用至所有資源 ("*"),且不能受條件限制。如需詳細資訊和範例,請參閱 AWS Organizations 文件中的使用 SCP 的策略

設計考量

  • 或者,若要使用 SCP 做為允許清單,您必須以明確允許的那些服務和動作的 SCP 取代 AWS 受管 FullAWSAccess SCP。若要針對指定的帳戶啟用權限,每個 SCP (從根目錄到帳戶直接路徑中的每個 OU,甚至連結至帳戶本身) 都必須允許該權限。此模型本質上的限制性更強,可能適用於高度管制和敏感的工作負載。此方法要求您明確允許從 AWS 帳戶到 OU 的路徑中的每個 IAM 服務或動作。

  • 理想情況下,您可以使用拒絕清單和允許清單策略的組合。使用允許清單定義允許在 AWS 組織內使用的 AWS 服務清單,並將此 SCP 附加到 AWS 組織的根目錄。如果您的開發環境允許使用不同的服務集,您可以在每個 OU 上附加相應的 SCP。然後,您可以透過明確拒絕特定 IAM 動作,使用拒絕清單來定義企業防護。