术语 - AWS Control Tower

术语

下面是您将在 AWS Control Tower 文档中看到的一些术语的简要回顾。

首先,我们要知道 AWS Control Tower 与 AWS Organizations 服务共享许多术语,包括本文档中出现的组织和组织单元(OU)这两个术语。

  • 有关组织和 OU 的更多信息,请参阅 AWS Organizations terminology and concepts。如果您不熟悉 AWS Control Tower,那么该术语是个不错的起点。

  •  AWS Organizations 是一项 AWS 服务,能够在您增加和扩展 AWS 中的工作负载时,帮助您集中管理环境。AWS Control Tower 依靠 AWS Organizations 创建账户、在 OU 级别强制实施预防性控件以及提供集中式计费功能。

  • AWS Account Factory 账户是一个在 AWS Control Tower 中使用 Account Factory 预置的 AWS 账户。有时,大家将 Account Factory 非正式地称为账户的“售卖机”。

  • 您的 AWS Control Tower 主区域是部署您的 AWS Control Tower 登录区的 AWS 区域。您可以在登录区设置中查看您的主区域。

  • 利用 AWS Service Catalog,您可以集中管理通用部署的 IT 服务。在本文档中,Account Factory 使用 AWS Service Catalog 来预置新的 AWS 账户,包括来自自定义蓝图的账户。

  • AWS CloudFormation StackSets 是一种资源类型,它扩展了堆栈的功能,这样您就您可以在单个操作和单个 CloudFormation 模板中跨越多个账户和区域创建、更新或删除堆栈。

  • 堆栈实例是对区域内目标账户中的堆栈的引用。

  • 堆栈是可作为单个单元管理的一系列 AWS 资源。

  • 聚合器是一种 AWS Config 资源类型,它从组织内的多个账户和区域收集 AWS Config 配置和合规性数据,让您能够在单个账户中查看和查询这些合规性数据。

  • 一致性包是 AWS Config 规则和补救操作的集合,可作为账户和区域中的单个实体轻松部署,也可以跨 AWS Organizations 中的整个组织部署。您可以使用一致性包来帮助自定义 AWS Control Tower 环境。有关提供更多详细信息的技术博客,请参阅相关信息

  • AWS Control Tower 中的基准 是您可以应用于目标的一组资源和特定配置。最常见的基准目标可能是组织单元(OU)。例如,名为 AWSControlTowerBaseline 的基准可用于帮助您在 AWS Control Tower 中注册 OU。在登录区设置和更新期间,基准目标可能是共享账户,也可以是整个登录区的特定设置。

  • 蓝图:蓝图是一种封装了一些元数据的构件,这些元数据描述了在账户中部署的基础架构组件。例如,CloudFormation 模板可以用作 AWS Control Tower 账户的蓝图。

  • 偏移:由 AWS Control Tower 安装和配置的资源发生变化。没有偏移的资源可确保 AWS Control Tower 能够正常运行。

  • 不合规的资源:违反 AWS Config 规则的资源,该资源定义了特定的检测性控件。

  • 共享账户:AWS Control Tower 在设置登录区时自动创建的三个账户之一:管理账户、日志存档账户和审计账户。在设置期间,您可以为日志存档账户和审计账户选择自定义名称。

  • 成员账户:成员账户归属于 AWS Control Tower 组织。您可以在 AWS Control Tower 中注册或取消注册该成员账户。当已注册的 OU 同时包含已注册账户和未注册账户时:

    • 在 OU 上启用(或继承)的预防性控件适用于其中的所有账户,包括未注册的账户。之所以如此,是因为预防性控件是在 OU 级别(而不是账户级别)通过 SCP、RCP 或声明性策略强制执行的。有关更多信息,请参阅 AWS Organizations 文档中的 Inheritance for service control policies

    • OU 上启用的检测性控件不适用于未注册的账户。

    • 主动性控件是通过 AWS CloudFormation 钩子实施的。这些控件不适用于 OU 中未注册的账户。

    一个账户一次只能是一个组织的成员,它所产生的费用将记入该组织的管理账户名下。可以将成员账户移至组织的根容器。

  • AWS 账户:AWS 账户充当资源容器和资源隔离边界。AWS 账户可以与账单和付款相关联。AWS 账户与 AWS Control Tower 中的用户账户(有时称为 IAM 用户账户)不同。通过 Account Factory 预置流程创建的账户就是 AWS 账户。AWS 账户也可以通过账户注册或 OU 注册流程添加到 AWS Control Tower。

  • 控件:控件(也称为防护机制)是一项高级规则,可为您的整个 AWS Control Tower 环境提供持续的管理。每个控件都会强制执行一条规则。预防性控件是通过 SCP 实施的。检测性控件是通过 AWS Config 规则实施的。主动性控件是通过 CloudFormation 钩子实施的。有关更多信息,请参阅 控件的工作原理

  • Control Catalog:AWS Control Tower Control Catalog 汇总了通过 AWS Control Tower、控制台和 API 提供的所有控件。它以前称为“控件库”。我们将该术语与命名空间 controlcatalog 的名称保持一致。

  • 登录区:登录区是一种提供推荐起点的云环境,包括默认账户、账户结构、网络和安全布局等。在登录区中,您可以部署利用您的解决方案和应用程序的工作负载。

  • 框架:框架是特定的监管标准或行业要求。在 Control Catalog 本体中,框架由标准控件表示。有关更多信息,请参阅 Control Catalog 本体概述

  • 嵌套 OU:AWS Control Tower 中的嵌套 OU 是包含在其他 OU 中的 OU。一个嵌套 OU 有且仅有一个父 OU,且每个账户只能是一个 OU 的成员。嵌套 OU 会创建一个层次结构。当您将策略附加到层次结构中的其中一个 OU 时,该策略会向下流动,影响该 OU 下的所有 OU 和账户。AWS Control Tower 中的嵌套 OU 层次结构最多有 5 个等级。

  • 父 OU:层次结构中直接位于当前 OU 上方的 OU。每个 OU 只能有一个父 OU。

  • 子 OU:层次结构中位于当前 OU 之下的任何 OU。一个 OU 可以有多个子 OU。

  • OU 层次结构:在 AWS Control Tower 中,嵌套 OU 的层次结构最多有 5 个等级。嵌套顺序称为级别。层次结构的顶部被指定为级别 1

  • 顶级 OU:顶级 OU 是指直接位于根下的任何 OU,而不是根本身。不应将根视为 OU。

  • 受管:受管区域由 AWS Control Tower 在您的环境中根据您的组织制定的治理策略进行管理和控制。这些 AWS 区域 会受到监控,以确保遵守最佳实践和组织策略。启用 AWS Control Tower 控件后,您在这些区域中的资源就会受到保护。

  • 非受管:显示非受管状态的区域不受 AWS Control Tower 的控制或监控。这些 AWS 区域 通常不符合 AWS Control Tower 强制执行的相同治理策略。您可以在这些区域创建资源,但是这些资源不受 AWS Control Tower 控制的保护。

  • 已拒绝:被拒绝的区域由 AWS Control Tower 专门屏蔽。在您的 AWS Control Tower 环境中,您无法在这些 AWS 区域 中预置资源。