构建登录区
您可以通过几个选项在 AWS 上创建您的登录区。您可以选择托管服务来协调您的环境,亦可与合作伙伴合作构建自己的环境。AWS 提供 AWS Control Tower
AWS 登录区的选项:
-
AWS Control Tower
-
定制登录区
交付机制:
每种方法的优点和权衡措施:
| 解决方案 | 优势 | 权衡措施 |
|---|---|---|
|
AWS Control Tower |
|
|
|
AWS Organizations |
|
|
所有多账户环境产品均由 AWS Organizations AWS Organizations ,为您构建和管理您的 AWS 环境提供支底层基础架构和功能。借助 AWS Organizations,您可以参考 AWS 提供的多账户策略指导,自行定制能够最适合您业务需求的环境。如果您是现有客户,并且对当前的 AWS Organizations 实施感到满意,则应继续运营当前的 AWS 环境。
AWS Control Tower
AWS Control Tower 作为 AWS 托管服务运行。在寻找立即可用的预打包环境解决方案时,您可以使用 AWS Control Tower 来获得规范指引和完全托管的环境。该服务根据多账户最佳实践设置一个登录区,集中管理身份和访问权限,并建立预先配置的安全和合规监管规则。
AWS Control Tower 使用最佳实践、身份蓝图、联合访问和账户结构自动设置新登录区。于 AWS Control Tower 实施的一些蓝图包括:
-
使用 AWS Organizations 的多账户环境
-
使用 AWS Identity and Access Management (IAM) 及 AWS IAM Identity Center 进行跨账户安全审计
-
使用身份中心默认目录进行身份管理
-
来自 AWS CloudTrail 及 AWS Config 并存储于 Amazon Simple Storage Service (Amazon S3)的集中日志记录
控制机制是为您的整个 AWS 环境提供持续治理的高级规则。控制机制可以是预防性的,也可以是侦测性的。预防性控制机制使用服务控制策略(SCP)来实施,该策略是 AWS Organizations 的一部分。检测性控制机制使用 AWS Config 规则实施。AWS Control Tower 控制机制的示例包括:
-
禁止为根用户创建访问密钥
-
禁止通过 RDP 连接 Internet
-
禁止对 S3 存储桶进行公共写入访问
-
禁止未绑定至 Amazon Elastic Compute Cloud (Amazon EC2) 实例的 Amazon Elastic Block Store (Amazon EBS) 卷
注意
AWS Control Tower 是登录区的起点。在构建登录区时,您需要根据自己的独特要求来确定您的联网、访问管理和安全策略。
定制登录区
您可以选择为自己构建定制登录区解决方案。在这种情况下,您必须实施基准环境才能开始身份和访问管理、治理、数据安全、网络设计和日志记录。如果您想从头开始构建所有环境组件,或者您的要求只有自定义解决方案才能支持,我们建议您采用这种方法。解决方案部署后,您必须对 AWS 具备足够的专业知识来管理、升级、维护和操作解决方案。
推荐方法
我们建议您开始使用 AWS Control Tower 构建登录区。AWS Control Tower 可帮助您构建最初的规范性登录区配置,使用开箱即用的控制机制和蓝图,以及使用 AWS Control Tower 账户工厂创建新账户。
在设置过程中,可以从 AWS Control Tower 控制台自定义登录区。有关详细信息,请参阅 AWS Control Tower 文档。设置基础登录区后,请使用以下选项之一进一步优化和自定义:
-
使用 AWS Control Tower 自定义项(CfCT),其通过 CloudFormation 模板和服务控制策略(SCP)提供广泛的自定义选项。有关更多信息,请参阅 AWS Control Tower 文档。
-
使用登录区加速器(LZA)优化登录区,使其与合规性框架保持一致。有关更多信息,请参阅 LZA 实施指南。
