本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
概述
我们与一家跨国制药公司合作,在 AWS 上开展了概念验证(PoC)活动,以探索他们如何将现有应用程序从本地迁移到 AWS Cloud。当他们开始扩展和加快迁移工作流以包括生产工作负载时,他们显然需要一个受到监管且合规的 AWS 登录区,以助力其实现目标。我们使用 AWS Control Tower 设计和实施新的 AWS 登录区。
新 AWS 登录区及其组织的一个重要方面是其组织单位(OU)的结构。OU 是使用 AWS Organizations 创建的 AWS 账户的逻辑分组。您可以使用 OU 将 AWS 账户组织成层次结构,并且更轻松一致地应用管理和治理控制。
您可以将基于策略的控件附加到某个 OU 和 AWS 账户。OU 内的子 OU 会自动继承这些控件。因此,OU 在管理 AWS Organizations 中的安全性和治理方面起着至关重要的作用。
策略是包含一个或多个语句的 JSON 文档,这些语句用于定义要应用到一组 AWS 账户的控件。AWS Organizations 目前支持四种类型的策略,也称为服务控制策略(SCP)。SCP 定义了可在不同 AWS 账户中使用的 AWS 服务和操作。例如,您可以使用 SCP 要求 Amazon Elastic Compute Cloud(Amazon EC2)实例的启动使用特定的实例类型。
策略类型
SCP 策略类型包括以下几种:
-
允许列表和拒绝列表是您应用 SCP 以筛选可供账户使用的权限时的补充策略。
-
标签策略帮助您维护一致的标签,包括各账户中的标签键和标签值的首选大小写处理。
-
备份策略为支持的资源类型配置备份,例如备份的时间窗口和跨 AWS 区域备份的目标保管库。
-
人工智能服务退出政策支持或禁用全球 AWS 人工智能(AI)服务的持续改进。
策略继承行为:当您将某个策略附加到特定 OU 时,直接位于该 OU 下的账户或任何子 OU 将继承此策略。当您将策略附加到特定账户时,该策略仅影响该账户。您可以通过引入异常策略来覆盖继承的策略。继承明确允许所有权限从根(OU)传递到该 OU 和子 OU 中的每个 AWS 账户,除非您明确拒绝权限。要拒绝某项权限,您可以创建其他策略并将其附加到相应的 OU 或 AWS 账户。有关策略继承和异常的更多信息,请参阅 AWS Organizations 文档。
AWS Control Tower 还使用 OU 结构提供自己的一套侦测和预防性控制(也称为护栏)。AWS Control Tower 预防性控制通过使用 AWS Organizations 中的 SCP 来防止采取措施。侦测控制使用 AWS Config 来报告与控件的配置偏差。有关这些控制的更多信息,请参阅 AWS Control Tower 文档。
您还可以启用 AWS Security Hub CSPM 来自动执行安全最佳实践检查,将安全提醒聚合到一个位置和格式中,并了解所有 AWS 账户的整体安全状况。
