本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 AWS Control Tower 实现强大的网络设计
<a name="introduction"></a>

*Amazon Web Services*（[贡献者](contributors.md)）

*2024 年 9 月*（[文档历史记录](doc-history.md)）

安全对于任何组织都至关重要。应用程序安全的关键因素之一是网络。网络漏洞可能为网络犯罪分子提供各种途径，使其能够破坏应用程序并控制系统。本指南定义了使用 AWS Control Tower 在 AWS Organizations 级别设计网络时的一些最佳实践。网络设计的目标是为托管在 AWS Cloud上的应用程序提供更便捷的管理、更高的安全性和保护。为了帮助实现这一目标，网络设计包括检查、筛选和记录从 AWS 中的单一集中式网络账户进出互联网的流量。

本文介绍的方法使用包含三个虚拟私有云（VPC）的集中式网络账户。分支 VPC 和互联网的入站和出站流量按 AWS WAF 和 AWS Network Firewall 筛选。AWS Transit Gateway 和 VPC 端点可帮助路由流量。

## 先决条件
<a name="prerequisites"></a>
+ 有效的 [AWS 账户](https://aws.amazon.com/resources/create-account/)
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html) 设置
+ [Transit Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/extend-tgw.html) 知识
+ 网络和网络安全知识

## 集中式网络账户
<a name="network-account"></a>

管理组织的整个网络时，我们建议使用一个单独的账户专门用于管理网络组件或服务。首先，网络团队需要申请创建一个用于管理网络服务的账户（网络）。创建新账户后，记下账户编号。接下来，通过在 IPAM 中提供账户详细信息，将 [Amazon Virtual Private Cloud（Amazon VPC）IP 地址管理器（IPAM）](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html)的控制权从 AWS Control Tower 管理账户更改为网络账户。

新创建的账户将成为您的集中式网络账户，它将管理以下网络服务：
+ IPAM
+ VPC 配置
+ 网络访问控制列表 (ACL)
+ 集中式网络防火墙
+ AWS Transit Gateway
+ VPC 端点配置
+ 集中式 DNS 管理
+ 集中式入站流量
+ AWS WAF