使用 AWS Control Tower 实现强大的网络设计

Amazon Web Services（贡献者）

2024 年 9 月（文档历史记录）

安全对于任何组织都至关重要。应用程序安全的关键因素之一是网络。网络漏洞可能为网络犯罪分子提供各种途径，使其能够破坏应用程序并控制系统。本指南定义了使用 AWS Control Tower 在 AWS Organizations 级别设计网络时的一些最佳实践。网络设计的目标是为托管在 AWS Cloud上的应用程序提供更便捷的管理、更高的安全性和保护。为了帮助实现这一目标，网络设计包括检查、筛选和记录从 AWS 中的单一集中式网络账户进出互联网的流量。

本文介绍的方法使用包含三个虚拟私有云（VPC）的集中式网络账户。分支 VPC 和互联网的入站和出站流量按 AWS WAF 和 AWS Network Firewall 筛选。AWS Transit Gateway 和 VPC 端点可帮助路由流量。

先决条件

集中式网络账户

管理组织的整个网络时，我们建议使用一个单独的账户专门用于管理网络组件或服务。首先，网络团队需要申请创建一个用于管理网络服务的账户（网络）。创建新账户后，记下账户编号。接下来，通过在 IPAM 中提供账户详细信息，将 Amazon Virtual Private Cloud（Amazon VPC）IP 地址管理器（IPAM）的控制权从 AWS Control Tower 管理账户更改为网络账户。

新创建的账户将成为您的集中式网络账户，它将管理以下网络服务：