本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用 AWS Organizations 確保安全 | | | --- | | 進行[簡短的問卷](https://amazonmr.au1.qualtrics.com/jfe/form/SV_e3XI1t37KMHU2ua),以影響 AWS 安全參考架構 (AWS SRA) 的未來。 | [AWS Organizations](https://aws.amazon.com/organizations/) 可協助您在資源成長和擴展時,集中管理和控管您的環境 AWS 。透過使用 AWS Organizations,您可以透過程式設計方式建立新的 AWS 帳戶、配置資源、分組帳戶來組織工作負載,以及將政策套用至帳戶或帳戶群組以進行控管。 AWS 組織會合併 , AWS 帳戶 以便您以單一單位管理它們。它有一個管理帳戶以及零個或多個成員帳戶。大多數工作負載都位於成員帳戶中,但某些中央受管程序必須位於管理帳戶或指定為特定 委派管理員的帳戶 AWS 服務。您可以從中央位置提供工具和存取權,讓您的安全團隊代表 AWS 組織管理安全需求。您可以透過在 AWS 組織內共用關鍵資源來減少資源重複。[您可以將帳戶分組為 AWS 組織單位 (OUs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html),根據工作負載的需求和用途來代表不同的環境。 AWS Organizations 也提供數種政策,可讓您將額外的安全控制集中套用至組織中的所有成員帳戶。本節著重於服務控制政策 SCPs)、資源控制政策 (RCPs) 和宣告政策。 透過 AWS Organizations,您可以使用 [SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) 和 [RCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) 在 AWS 組織、OU 或帳戶層級套用許可護欄。SCPs 是適用於組織帳戶中主體的護欄,但管理帳戶 (這是不在此帳戶中執行工作負載的一個原因) 除外。當您將 SCP 連接到 OU 時,SCP 會由該 OUs 下的子 OU 和帳戶繼承。SCPs不會授予任何許可。反之,他們會指定組織、OU AWS 或帳戶中主體可用的許可上限。您仍然需要將[身分型或資源型政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)連接到 AWS 帳戶 中的主體或資源,以實際授予許可。例如,如果 SCP 拒絕存取所有 Amazon S3,則受 SCP 影響的委託人將無法存取 Amazon S3,即使透過 IAM 政策明確** **授予存取權。如需如何評估 IAM 政策、SCPs 角色以及如何最終授予或拒絕存取的詳細資訊,請參閱 IAM 文件中的[政策評估邏輯](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。 RCPs 是套用於組織帳戶中資源的護欄,無論資源是否屬於同一個組織。如同 SCPs,RCPs不會影響管理帳戶中的資源,也不會授予任何許可。當您將 RCP 連接到 OU 時,RCP 由 OUs 下的子 OU 和帳戶繼承。RCPs可讓您集中控制組織中資源的最大可用許可,並目前支援 的子集 AWS 服務。當您為 OUs 設計 SCPs 時,建議您使用 [IAM 政策模擬器](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)來評估變更。您也應該在 [IAM 中檢閱服務上次存取的資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html),並使用 [AWS CloudTrail 記錄 API 層級的服務用量](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/how-cloudtrail-works.html),以了解 SCP 變更的潛在影響。 SCPs和 RCPs是獨立的控制項。您可以選擇僅啟用 SCPs 或 RCPs,或根據您要強制執行的存取控制,同時使用這兩種政策類型。例如,如果您想要防止組織的主體存取組織外部的資源,您可以使用 SCPs強制執行此控制。如果您想要限制或防止外部身分存取您的 資源,您可以使用 RCPs強制執行此控制。如需 RCPs 和 SCPs 的詳細資訊和使用案例,請參閱 AWS Organizations 文件中的[使用 SCPs RCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_authorization_policies.html#when-to-use-scps-and-rcps)。 您可以使用 AWS Organizations 宣告式政策,集中宣告和強制執行整個組織中 AWS 服務 大規模指定 所需的組態。例如,您可以封鎖對整個組織的 Amazon VPC 資源的公有網際網路存取。與 SCPs 和 RCPs 等授權政策不同,宣告政策會在 AWS 服務的控制平面中強制執行。授權政策會規範對 APIs存取,而宣告政策會直接在服務層級套用,以強制執行持久性意圖。 這些政策有助於確保 AWS 服務 始終維護 的基準組態,即使服務引入新功能或 APIs。將新帳戶新增至組織或建立新主體和資源時,也會維護基準組態。宣告政策可以套用至整個組織或特定 OUs 或帳戶。 每個 AWS 帳戶 都有單一[根使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html),預設具有所有 AWS 資源的完整許可。  作為安全最佳實務,建議您不要使用根使用者,除了明確需要根使用者的一些[任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)之外。如果您 AWS 帳戶 透過 管理多個 AWS Organizations,您可以集中停用根登入,然後代表所有成員帳戶執行根特權動作。在[集中管理成員帳戶的根存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html)之後,您可以刪除根使用者密碼、存取金鑰和簽署憑證,並停用成員帳戶的多重驗證 (MFA)。根據預設,在集中受管根存取下建立的新帳戶沒有根使用者憑證。成員帳戶無法使用其根使用者登入,或對其根使用者執行密碼復原。 [AWS Control Tower](https://aws.amazon.com/controltower/) 提供簡單的方法來設定和管理多個 帳戶。它可自動化組織中 AWS 帳戶的設定、自動化佈建、套用[控制](https://docs.aws.amazon.com/controltower/latest/controlreference/controls-reference.html) (包括預防性和偵測性控制),並提供儀表板讓您清楚可見。額外的 IAM 管理政策,即[許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html),會連接至特定 IAM 主體 (使用者或角色),並設定身分型政策可授予 IAM 主體的最大許可。 AWS Organizations 可協助您設定[AWS 服務](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html)套用至所有 帳戶的 。例如,您可以使用 CloudTrail 設定整個 AWS 組織執行的所有動作的中央記錄,並防止成員帳戶停用記錄。 [CloudTrail](https://aws.amazon.com/cloudtrail/) 您也可以使用 集中彙總您已定義規則的資料[AWS Config](https://aws.amazon.com/config/),以便稽核工作負載是否合規,並快速回應變更。您可以使用 [AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) 集中管理 AWS 組織中跨帳戶和 OUs CloudFormation 堆疊,以便自動佈建新帳戶以符合您的安全需求。 的預設組態 AWS Organizations 支援使用 SCPs做為*拒絕清單*。透過使用拒絕清單策略,成員帳戶管理員可以委派所有服務和動作,直到您建立和連接拒絕特定服務或一組動作的 SCP 為止。拒絕陳述式需要的維護少於允許清單,因為您在 AWS 新增服務時不需要更新它們。拒絕陳述式的字元長度通常較短,因此更容易保持在 SCPs的大小上限內。在 `Effect` 元素的值為 `Deny` 的陳述式中,您也可以將存取限制在特定資源,或是定義決定 SCP 何時生效的條件。相反地,SCP 中的 `Allow`陳述式適用於所有資源 (`"*"`),且不受條件限制。如需詳細資訊和範例,請參閱 AWS Organizations 文件中的[使用 SCPs 的策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_strategies.html)。 **設計考量** 或者,若要使用 SCPs做為*允許清單*,您必須將 AWS 受管 `FullAWSAccess` SCP 取代為 SCP,以明確允許您想要允許的服務和動作。若要為指定帳戶啟用許可,每個 SCP (從根到帳戶直接路徑中的每個 OU,甚至連接到帳戶本身) 必須允許該許可。此模型本質上更嚴格,可能適用於受到高度管制和敏感的工作負載。此方法要求您明確允許路徑中從 AWS 帳戶 到 OU 的每個 IAM 服務或動作。 理想情況下,您會使用拒絕清單和允許清單策略的組合。使用允許清單來定義允許在 AWS 組織中使用的 AWS 服務 允許清單,並將此 SCP 連接到組織的 AWS 根目錄。如果您的開發環境允許不同的服務集,您將在每個 OU 連接各自的 SCPs。然後,您可以使用拒絕清單明確拒絕特定 IAM 動作來定義企業護欄。 RCPs適用於 子集的資源 AWS 服務。如需詳細資訊,請參閱 文件中的 AWS Organizations [AWS 服務 支援 RCPs 清單](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html#rcp-supported-services)。的預設組態 AWS Organizations 支援使用 RCPs做為拒絕清單。當您在組織中啟用 RCPs 時,稱為 的 AWS 受管政策`RCPFullAWSAccess`會自動連接到組織根目錄、每個 OU,以及您組織中的每個帳戶。您無法分離此政策。此預設 RCP 允許所有主體和動作存取通過 RCP 評估。這表示在您開始建立和連接 RCPs之前,所有現有的 IAM 許可都會繼續如預期般運作。此 AWS 受管政策不會授予存取權。然後,您可以撰寫新的 RCPs做為拒絕陳述式清單,以封鎖對組織中資源的存取。