使用 AWS CodePipeline 和 Amazon Bedrock 将 AWS Organizations 政策作为代码进行管理 - AWS 规范指引
Summary先决条件和限制架构工具最佳实践操作说明问题排查相关资源附加信息

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 AWS CodePipeline 和 Amazon Bedrock 将 AWS Organizations 政策作为代码进行管理

Andre Cavalcante 和 Mariana Pessoa de Queiroz,Amazon Web Services

Summary

您可以使用中的授权策略 AWS Organizations 来集中配置和管理成员账户中委托人和资源的访问权限。服务控制策略 (SCPs) 定义组织中 AWS Identity and Access Management (IAM) 角色和用户的最大可用权限。资源控制策略 (RCPs) 定义组织中资源可用的最大权限。

此模式可帮助您管理通过持续集成 SCPs 和 RCPs 持续部署 (CI/CD) 管道部署的基础架构即代码 (IaC)。通过使用 AWS CloudFormation 或 Hashicorp Terraform 来管理这些策略,您可以减轻与构建和维护多个授权策略相关的负担。

此模式包括下列功能:

  • 您可以使用清单文件scp-management.jsonrcp-management.json)创建、删除和更新授权策略。

  • 您使用的是护栏,而不是政策。可以在清单文件中定义护栏及其目标。

  • 该管道使用 AWS CodeBuild 和 AWS CodePipeline,合并并优化了清单文件中的护栏。对于清单文件中的每个语句,管道会将护栏组合成单个 SCP 或 RCP,然后将其应用于定义的目标。

  • AWS Organizations 将策略应用于您的目标。目标可以是 AWS 账户、组织单位 (OU)、环境(这是一组帐户或 OUs 您在environments.json文件中定义的帐户)或一组共享AWS 标签的帐户。

  • Amazon Bedrock 将读取管道日志并汇总所有政策变更。

  • 管道要求人工审批。审批者可以查看 Amazon Bedrock 准备的执行摘要,这有助于他们了解变更。

先决条件和限制

先决条件

  • AWS 账户 在中作为一个组织进行管理的多个项目 AWS Organizations。有关更多信息,请参阅创建组织

  • SCP 和 RCP 功能已在中启用。 AWS Organizations有关更多信息,请参阅启用策略类型

  • 已安装 Terraform 版本 1.9.8 或更高版本。

  • 如果您不是通过 Terraform 管道部署此解决方案,则必须将 Terraform 状态文件存储部署策略管理管道的亚马逊简单存储服务 (Amazon S3) 存储桶 AWS 账户 中。

  • 已安装 Python 3.13.3 或更高版本

限制

  • 您不能使用此模式来管理 SCPs 或 RCPs 在此 CI/CD 管道之外创建的内容。但是,可以通过管道重新创建现有策略。有关更多信息,请参阅此模式其他信息部分的将现有策略迁移到管道

  • 每个账户中的账户数量和策略受配额和服务限制的约束 AWS Organizations。 OUs

  • 此模式不能用于在中配置管理策略 AWS Organizations,例如备份策略、标签策略、聊天应用程序策略或声明性策略。

架构

下图所示为策略管理管道及其关联资源的工作流。

发布 SCPs 并 RCPs 通过策略管理管道。

下图显示了如下工作流:

  1. 用户提交对远程存储库主分支中的 scp-management.jsonrcp-management.json 清单文件所做的更改。

  2. main分支的更改会启动管道。 AWS CodePipeline

  3. CodePipeline 启动Validate-Plan CodeBuild 项目。此项目使用远程存储库中的 Python 脚本验证策略和策略清单文件。该 CodeBuild 项目执行以下操作:

    1. 检查 SCP 和 RCP 清单文件是否包含唯一语句 IDs () Sid

    2. 使用 scp-policy-processor/main.pyrcp-policy-processor/main.py Python 脚本将护栏文件夹中的护栏串联起来,形成单一的 RCP 或 SCP 策略。它会将具有相同 ResourceActionCondition 的护栏相结合。

    3. AWS Identity and Access Management Access Analyzer 用于验证经过优化的最终策略。如有任何发现,管道会停止。

    4. 创建 Terraform 用于创建资源的 scps.jsonrcps.json 文件。

    5. 运行将创建 Terraform 执行计划的 terraform plan 命令。

  4. (可选)该Validate-Plan CodeBuild 项目使用bedrock-prompt/prompt.py脚本向 Amazon Bedrock 发送提示。您可以在 bedrock-prompt/prompt.txt 文件中定义提示。Amazon Bedrock 使用 Anthropic Claude Sonnet 3.5,通过分析 Terraform 和 Python 日志来生成拟议变更的摘要。

  5. CodePipeline 使用亚马逊简单通知服务 (Amazon SNS) Service 主题来通知批准者必须对更改进行审查。如果 Amazon Bedrock 生成变更摘要,则通知中将包含此摘要。

  6. 策略批准者在中批准该操作。 CodePipeline如果 Amazon Bedrock 生成了变更摘要,则批准者可以在批准 CodePipeline 之前查看该摘要。

  7. CodePipeline 启动Apply CodeBuild 项目。该项目使用 Terraform 来应用 RCP 和 SCP 的更改。 AWS Organizations

与此架构关联的 IaC 模板还部署了以下支持策略管理管道的资源:

  • 用于存储 CodePipeline 项目和脚本的 Amazon S3 存储桶,例如scp-policy-processor/main.pybedrock-prompt/prompt.py

  • 用于加密此解决方案创建的资源的 AWS Key Management Service (AWS KMS) 密钥

工具

AWS 服务

  • Amazon Bedrock 是完全托管式人工智能服务,通过统一的 API 提供多种高性能基础模型供您使用。

  • AWS CodeBuild 是一项完全托管式构建服务,可编译源代码、运行单元测试和生成部署就绪的构件。 

  • AWS CodePipeline 可帮助您快速对软件发布过程的不同阶段进行建模和配置,并自动执行持续发布软件变更所需步骤。

  • AWS Organizations是一项账户管理服务,可帮助您将多个账户整合 AWS 账户 到一个由您创建和集中管理的组织中。

  • 适用于 Python (Boto3) 的 AWS SDK是一个软件开发套件,可帮助您将 Python 应用程序、库或脚本与集成 AWS 服务。

  • Amazon Simple Storage Service(Amazon S3)是一项基于云的对象存储服务,可帮助您存储、保护和检索任意数量的数据。

其他工具

  • HashiCorp Terraform 是一款 IaC 工具,可帮助您使用代码来配置和管理云基础架构和资源。

代码存储库

此模式的代码可在organizations-policy-pipeline GitHub 存储库中找到。以下是 sample-repository 文件夹中包含的关键文件:

  • environments 文件夹中,environments.json 包含环境列表。环境是一组目标,它们可以包含 AWS 账户 IDs 或组织单位 (OUs)。

  • rcp-management 文件夹中:

    • guardrails文件夹包含您的个人护栏 RCPs

    • policies文件夹包含个人 RCPs

    • rcp-management.json清单文件可帮助您管理 RCP 护栏(已满)及其 RCPs相关目标。

  • scp-management 文件夹中:

    • guardrails文件夹包含您的个人护栏 SCPs

    • policies文件夹包含个人 SCPs

    • scp-management.json清单文件可帮助您管理 SCP 护栏(已满)及其 SCPs相关目标。

  • utils文件夹包含脚本,可以帮助您迁移当前脚本 SCPs , RCPs 以便您可以通过管道对其进行管理。有关更多信息,请参阅此模式的其他信息部分。

最佳实践

  • 在设置管道之前,我们建议您确认自己尚未达到 AWS Organizations 配额限制。

  • 我们建议您仅将 AWS Organizations 管理账户用于必须在该账户中执行的任务。有关详细信息,请参阅管理账户的最佳实践

操作说明

Task说明所需技能

创建存储库。

创建一个存储库,供您的安全运营团队管理策略。使用 AWS CodeConnections 支持的第三方存储库提供商之一。

DevOps 工程师

委派策略管理。

将 AWS Organizations 策略的管理委托给您部署管道的成员账户。有关说明,请参阅使用创建基于资源的委托策略。 AWS Organizations有关策略示例,请参阅此模式其他信息部分的基于资源的委托策略示例

AWS 管理员

(可选)启用基础模型。

如果您想生成政策变更摘要,请在部署管道的 Amazon Bedrock 中启用对 Anthropic Claude 3.5 Sonnet 基础模型 AWS 账户 的访问权限。有关说明,请参阅添加或移除对 Amazon Bedrock 基础模型的访问权限

常规 AWS
Task说明所需技能

克隆存储库。

输入以下命令以从中克隆organizations-policy-pipeline 存储库 GitHub:

git clone https://github.com/aws-samples/organizations-policy-pipeline.git

DevOps 工程师

定义您的部署方法。

  1. 在克隆的存储库中,打开 variables.tf 文件。

  2. 对于 project_name,输入要应用于已部署资源名称的前缀。

  3. 对于 provider_type,输入远程存储库的提供者。文件中提供了有效值。

  4. 对于 full_repository_name,输入远程存储库的名称。

  5. 对于 branch_name,输入将用于部署策略的 Git 分支的名称。在此分支中执行推送或合并操作将启动管道。通常,这是主分支。

  6. 对于 terraform_version,请输入您正在使用的 Terraform 的版本。

  7. 对于 enable_bedrock,如果您想让 Amazon Bedrock 汇总更改,请输入 true。如果您不想生成更改摘要,请输入 false

  8. 对于 tags,输入要作为标签分配给已部署资源的键值对。

  9. 保存并关闭 variables.tf 文件。

DevOps 工程师

部署管道。

  1. 输入以下命令创建计划并查看更改:

    terraform plan

  2. 输入以下命令应用计划并创建管道基础设施:

    terraform apply
DevOps 工程师,Terraform

连接远程存储库。

在上一步中,Terraform 创建了与第三方 CodeConnections 存储库的连接。在 AWS 开发人员工具控制台中,将连接状态从 PENDING 改为 AVAILABLE。有关说明,请参阅更新待处理的连接

AWS DevOps

订阅 Amazon SNS 主题。

Terraform 创建了一个 Amazon SNS 主题。为端点订阅主题并确认订阅,以便审批者收到有关管道中存在待审批操作的通知。有关说明,请参阅创建对 Amazon SNS 主题的订阅

常规 AWS
Task说明所需技能

填充远程存储库。

从克隆的存储库中,将 sample-repository 文件夹的内容复制到您的远程存储库。这包括 environmentsrcp-managementscp-managementutils 文件夹。

DevOps 工程师

定义您的环境。

  1. environments 文件夹中,打开 environments.json 文件。这是您 OUs 为 AWS 账户 和定义目标的文件 RCPs SCPs。

  2. 删除示例环境。

  3. 按以下格式添加目标环境:

    [
    {
        "ID": "<environment-name>",
        "Target": [
            "<ou-name>:<ou-id>",
            "<account-name>:<account-id>"
        ]
    }
]

    其中:

    • <environment-name>是您分配给该组 OUs 和 AWS 账户的名称。您可以在清单文件中使用此名称来定义要将策略应用到何处。

    • <ou-name> 是目标 OU 的名称。

    • <ou-id> 是目标 OU 的 ID。

    • <account-name>是目标的名称 AWS 账户。

    • <account-id>是目标的 ID AWS 账户。

    有关示例,请参阅源代码存储库

  4. 保存并关闭 environments.json 文件。

DevOps 工程师

定义护栏。

  1. 导航到远程存储库中的 rcp-management/guardrails 文件夹。您可以在此文件夹中为 RCP 清单文件定义护栏。每个护栏必须放在单独的文件中。护栏文件可以包含一个或多个语句。

    注意

    您可以在和的清单文件中的多个语句中使用相同的护栏。 SCPs RCPs如果您修改护栏,包含此护栏的所有策略都会受到影响。

  2. 删除从源代码存储库复制的所有示例护栏。

  3. 创建新的 .json 文件并为其指定一个描述性名称。

  4. 打开您创建的 .json 文件。

  5. 按以下格式定义护栏:

    [
    {
        "Sid": "<guardrail-name>",
        "Effect": "<effect-value>",
        "Action": [
            "<action-name>"
        ],
        "Resource": "<resource-arn>",
        "Condition": {
            "<condition-operator>": {
                "<condition-key>": [
                    "<condition-value>"
                ]
            }
        }
    }
]

    其中:

    • <guardrail-name> 是护栏的唯一名称。此名称不能用于任何其他护栏。

    • <effect-value> 必须为 AllowDeny。有关更多信息,请参阅 Effect

    • <action-name> 必须是服务支持的操作的有效名称。有关更多信息,请参阅 Action

    • <resource-arn> 是护栏适用的资源的 Amazon 资源名称(ARN)。也可以使用通配符,例如 *?。有关更多信息,请参阅 Resource

    • <condition-operator> 是有效的条件运算符。有关更多信息,请参阅 Condition 运算符

    • <condition-key> 是有效的全局条件上下文键或特定于服务的上下文键。有关更多信息,请参阅 Condition

    • <condition-value> 是条件中用来评估护栏是否适用的特定值。有关更多信息,请参阅 Condition

    例如 RCP 护栏,请参阅源代码存储库

  6. 保存并关闭 .json 文件。

  7. 重复这些步骤,以根据需要创建任意多数量的 RCP 护栏。

  8. scp-management/guardrails文件夹中重复这些步骤,根据需要创建任意数量的护栏。 SCPs例如 SCP 护栏,请参阅源代码存储库

DevOps 工程师

定义政策。

  1. 导航到远程存储库中的 rcp-management/policies 文件夹。您可以在此文件夹中为 RCP 清单文件定义完整策略。每项政策必须是一个单独的文件。

    注意

    如果您修改此文件夹中的策略,则根据清单文件中的定义 OUs ,策略更改会影响任何账户或应用此策略的账户。

  2. 删除从源代码存储库复制的所有示例策略。

  3. 创建新的 .json 文件并为其指定一个描述性名称。

  4. 打开您创建的 .json 文件。

  5. 定义 RCP。例如 RCPs,请参阅源代码存储库或参阅 AWS Organizations 文档中的资源控制策略示例

  6. 保存并关闭 .json 文件。

  7. 重复这些步骤,根据需要创建任意数量 RCPs 的内容。

  8. scp-management/policies文件夹中重复这些步骤,根据需要创建 SCPs 任意数量的文件。例如 SCPs,请参阅源代码存储库或参阅 AWS Organizations 文档中的服务控制策略示例

DevOps 工程师
Task说明所需技能

配置清单文件。

  1. rcp-management 文件夹中,打开 rcp-management.json 文件。在此文件中,您可以定义哪些 RCP 护栏和完整版 RCPs 适用于您的目标环境。有关此文件的示例,请参阅源代码存储库

  2. 删除示例语句。

  3. 按以下格式添加新语句:

    [
    {
        "SID": "<statement-name>",
        "Target": {
            "Type": "<target-type>",
            "ID": "<target-name>"
        },
        "Guardrails": [
            "<guardrail-name>"
        ],
        "Policy": "<policy-name>",
        "Comments": "<comment-text>"
    }
]

    其中:

    • <statement-name> 是语句的唯一名称。

    • <target-type> 是要将策略应用到的目标的类型。有效值为 AccountOUEnvironmentTag

    • <target-name> 是要将策略应用到的目标的标识符。输入以下内容之一:

      • 对于 AWS 账户,请将标识符输入为<account-name>:<account-id>

      • 对于 OU,以 <OU-name>:<ou-id> 格式输入标识符。

      • 对于环境,输入您在 environments.json 文件中定义的唯一名称。

      • 对于标签,以 <tag-key>:<tag-value> 格式输入键值对。

    • <guardrail-name> 是您在 rcp-management/guardrails 文件夹中定义的 RCP 护栏的唯一名称。可以在此元素中添加多个护栏。如果不想应用护栏,可以将此字段留空。

    • <policy-name> 是您在 rcp-management/policies 文件夹中定义的 RCP 的唯一名称。只能在此元素中添加一个策略。如果不想应用策略,可以将此字段留空。

    • <comment-text> 是您可以为记录目的输入的描述。此字段在管道处理期间不使用。如果不想添加备注,可以将此字段留空。

  4. 重复这些步骤,根据需要添加任意数量的语句,以便 RCPs 为您的组织进行配置。

  5. 保存并关闭 rcp-management.json 文件。

  6. scp-management 文件夹的 scp-management.json 文件中重复这些步骤。在此文件中,您可以定义哪些 SCP 护栏和完整版 SCPs 适用于您的目标环境。有关此文件的示例,请参阅源代码存储库

DevOps 工程师

启动管道。

提交更改并将其推送到您在 variables.tf 文件中定义的远程存储库的分支。通常,这是 main 分支。 CI/CD 管道会自动启动。如有任何管道错误,请参阅此模式的问题排查部分。

DevOps 工程师

审批更改。

Validate-Plan CodeBuild 项目完成后,策略批准者会通过您之前配置的 Amazon SNS 主题收到通知。执行以下操作:

  1. 打开通知消息。

  2. 如果有,请查看策略变更摘要。

  3. 按照中的批准或拒绝批准操作中的说明进行操作 CodePipeline

AWS 总负责人、策略审批者

验证部署。

  1. 以 AWS Organizations委派管理员身份的账户登录 AWS Organizations 控制台

  2. 在 “服务控制策略” 页面上,确认已列出您创建的策略。 SCPs

  3. 选择通过管道管理的 SCP,并确认其适用于预期目标。

  4. 资源控制策略页面上,确认已列出您创建的策略。 RCPs

  5. 选择通过管道管理的 RCP,并确认其适用于预期目标。

常规 AWS

问题排查

问题解决方案

管道 Validate-Plan 阶段出现清单文件错误

如果 scp-management.jsonrcp-management.json 文件中出现任何错误,管道输出中会出现“清单文件在验证与计划阶段出现管道错误”的消息。可能的错误包括环境名称不正确、字段或值重复 SIDs或无效。执行以下操作:

  1. 按照在 AWS CodeBuild中查看版本详细信息中的说明操作。

  2. 在构建日志中查找验证错误。错误会详细说明是什么导致构建失败。

  3. 更新对应的 .json 文件。

  4. 提交更新后的文件并将其推送至远程存储库。管道将重新启动。

  5. 监控状态以确认验证错误已解决。

IAM Access Analyzer 在管道的 Validate-Plan 阶段有发现

如果护栏或策略定义中存在任何错误,管道输出中会出现“验证与计划阶段 IAM Access Analyzer 中的发现”的消息。此模式使用 IAM Access Analyzer 验证最终策略。执行以下操作:

  1. 按照在 AWS CodeBuild中查看版本详细信息中的说明操作。

  2. 在构建日志中查找 IAM Access Analyzer 验证错误。错误会详细说明是什么导致构建失败。有关调查发现类型的更多信息,请参阅 IAM 策略验证检查参考

  3. 更新护栏或策略的对应 .json 文件。

  4. 提交更新后的文件并将其推送至远程存储库。管道将重新启动。

  5. 监控状态以确认验证错误已解决。

相关资源

附加信息

基于资源的委派策略示例

以下是基于资源的授权策略示例。 AWS Organizations它允许委派的管理员账户 RCPs 为组织 SCPs 管理和管理。在以下示例策略中,请将 <MEMBER_ACCOUNT_ID> 替换为您部署策略管理管道的账户的 ID。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DelegationToAudit",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::<MEMBER_ACCOUNT_ID>:root"
      },
      "Action": [
        "organizations:ListTargetsForPolicy",
        "organizations:CreatePolicy",
        "organizations:DeletePolicy",
        "organizations:AttachPolicy",
        "organizations:DetachPolicy",
        "organizations:DisablePolicyType",
        "organizations:EnablePolicyType",
        "organizations:UpdatePolicy",
        "organizations:DescribeEffectivePolicy",
        "organizations:DescribePolicy",
        "organizations:DescribeResourcePolicy"
      ],
      "Resource": "*"
    }
  ]
}

将现有策略迁移至管道

如果您已有 SCPs 或 RCPs 想要通过此管道进行迁移和管理,则可以使用代码仓库sample-repository/utils文件夹中的 Python 脚本。这些脚本包括:

  • check-if-scp-exists-in-env.py – 此脚本检查指定策略是否适用于您在 environments.json 文件中定义的特定环境中的任何目标。输入以下命令运行此脚本:

    python3 check-if-scp-exists-in-env.py \
   --policy-type <POLICY_TYPE> \
   --policy-name <POLICY_NAME> \
   --env-id <ENV_ID>

    在此命令中替换以下内容:

    • <POLICY_TYPE>scp 或者 rcp

    • <POLICY_NAME> 是 SCP 或 RCP 的名称

    • <ENV_ID> 是您在 environments.json 文件中定义的环境的 ID

  • create-environments.py— 此脚本根据当前环境 SCPs 和 RCPs 您的环境创建一个 environments.json 文件。它不包括通过部署的策略 AWS Control Tower。输入以下命令运行此脚本,其中 <POLICY_TYPE>scprcp

    python create-environments.py --policy-type <POLICY_TYPE>

  • verify-policies-capacity.py— 此脚本会检查您定义的每个环境,以确定每个 AWS Organizations 与策略相关的配额还剩多少容量。可以在 environments.json 文件中定义要检查的环境。输入以下命令运行此脚本,其中 <POLICY_TYPE>scprcp

    python verify-policies-capacity.py --policy-type <POLICY_TYPE>