本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 场景和架构概述
<a name="scenario"></a>

该政府机构在 AWS Cloud中有三项工作负载：
+ 使用亚马逊简单存储服务 (Amazon S3) 进行存储以及提取、转换 AWS Lambda 和加载 (ETL) 操作的[无服务器数据湖](serverless-data-lake.md)
+ 一种[容器化 Web 服务](containerised-web-service.md)，在 Amazon Elastic Container Service（Amazon ECS）上运行并使用 Amazon Relational Database Service（Amazon RDS）中的数据库
+ 在亚马逊 EC2 上运行的[商用 off-the-shelf (COTS) 软件](cots-software.md)

*云团队*为组织提供集中式平台，为 AWS 环境运行核心服务。云团队为 AWS 环境提供核心服务。每个工作负载都由不同的*应用程序团队*拥有，也称为*开发者团队*或*交付团队*。

## 核心架构
<a name="core-architecture"></a>

云团队已经在 AWS Cloud中建立了以下功能：
+ 身份联合链接 AWS IAM Identity Center 到他们的 E Microsoft ntra ID（以前是 *Azure 活动目录*）实例。联合会强制执行 MFA、用户账户自动到期以及 AWS Identity and Access Management 通过 (IAM) 角色使用短期证书。
+ 使用集中式 AMI 管线，通过 EC2 Image Builder 修补操作系统和核心应用程序。
+ Amazon Inspector 可以识别漏洞，所有安全发现都将发送到亚马逊 GuardDuty 进行集中管理。
+ 使用既定机制来更新应用程序控制规则、响应网络安全事件，及审查合规差距。
+ AWS CloudTrail 用于记录和监控。
+ 安全事件（例如根用户登录）会触发提醒。
+ SCPs 而且 VPC 终端节点策略会为您的 AWS 环境建立数据边界。
+ SCPs 防止应用程序团队禁用安全和日志服务，例如 CloudTrail 和 AWS Config。
+ AWS Config AWS 账户 为了安全起见，将整个 AWS 组织的调查结果汇总到一个单一的调查结果中。
+  AWS Config [ACSC Essential 8 一致性包](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-acsc_essential_8.html)已 AWS 账户 在您的组织中启用。