本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 安全參考架構 (AWS SRA)
亞馬遜網路服務全球服務安全團隊 (AWS)
2024 年 6 月 (文件歷史記錄)
| 通過進行簡短的調查 |
Amazon Web Services (AWS) 安全參考架構 (AWS SRA) 是一套完整的指導方針,可在多帳戶環境中部署完整的 AWS 安全服務。使用它來協助設計、實作和管理 AWS 安全服務,使其符合 AWS 建議的實務。這些建議以包含 AWS 安全服務的單一頁面架構為基礎建置,這些架構如何協助達成安全目標、在 AWS 帳戶中最佳部署和管理,以及與其他安全服務的互動方式。此整體架構指導補充詳細的服務特定建議,例如 AWS 安全文件網站上的建議。
架構和隨附的建議基於我們與 AWS 企業客戶的集體經驗。本文件為參考資料 — 使用 AWS 服務保護特定環境的全面指導集,而 AWS SRA 程式碼儲存庫中的解決方案模式是針對本參考所述的特定架構而設計的。每個客戶都有不同的要求。因此,AWS 環境的設計可能與此處提供的範例不同。您將需要修改和調整這些建議,以滿足您的個人環境和安全性需求。 在整份文件中,在適當的情況下,我們會針對常見的替代案例建議選項。
AWS SRA 是一套生動的指導,會根據新服務和功能發布、客戶意見反應以及不斷變化的威脅環境定期更新。每個更新都會包含修訂日期和相關聯的變更記錄。
儘管我們依賴單頁圖表作為基礎,但該架構比單個框圖更深,並且必須建立在基本面和安全性原則的結構良好基礎上。您可以透過兩種方式使用本文件:作為敘述或作為參考。這些主題以故事形式組織,因此您可以從頭開始 (基礎安全性指南) 到結束 (討論您可以實作的程式碼範例) 閱讀這些主題。或者,您也可以瀏覽文件,將重點放在與您需求最相關的安全性原則、服務、帳戶類型、指引和範例上。
本文件分為下列各節及附錄:
-
AWS SRA 的價值討論了建置 AWS SRA 的動機、說明如何使用它來協助提高安全性,並列出重要要點。
-
安全基礎審查 AWS 雲端採用框架 (AWS CAF)、AWS Well-Architected Framework 和 AWS 共同的責任模型,並重點介紹與 AWS SRA 特別相關的元素。
-
AWS Organizations、帳戶和 IAM 護欄介紹 AWS Organizations 服務、討論基本安全功能和防護,並提供我們建議的多帳戶策略概觀。
-
AWS 安全參考架構是單頁架構圖,顯示功能齊全的 AWS 帳戶,以及一般可用的安全服務和功能。
-
架構深入探討以特定安全性功能為基礎的進階架構模式,這些模式在您建置基準安全性架構之後您可能想要專注於這些功能。
-
適用於安全性的 AI/ML 說明不同的 AWS 服務如何在背景中使用人工智慧和機器學習 (AI/ML) 來協助您達成特定的安全目標。您可以在設計中包含這些 AWS 服務,以利用進階安全功能。
-
建立您的安全架構 — 分階段式方法會根據 AWS SRA 提供的參考,提供指導,說明如何在六個反覆階段建立自己的安全架構。
-
IAM 資源提供 AWS 身分與存取管理 (IAM) 指導的摘要和一組指標,這些指標對您的安全架構非常重要。
-
AWS SRA 的程式碼儲存庫範例提供相關GitHub儲存庫
的概觀,協助開發人員和工程師部署本文件中提供的一些指導和架構模式。您可以使用 AWS CloudFormation 或地形部署範例。 HashiCorp它們同時支援 AWS Control Tower 和非 AWS Control Tower 環境。 -
AWS 隱私權參考架構 (AWS PRA) 引入了在 AWS SRA 上建立的額外安全參考架構,以支援隱私權合規要求。
本附錄包含個別 AWS 安全、身分和合規服務的清單,並提供每項服務詳細資訊的連結。[文件記錄] 區段提供追蹤本文件版本的變更記錄。您也可以訂閱 RSS 摘要以取得變更通知。
注意
若要根據您的業務需求自訂本指南中的參考架構圖,您可以下載以下 .zip 檔案並擷取其內容。
