本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS AWS SRA 的组织和账户结构
| 通过进行简短的调查 |
下图捕捉了 AWS SRA 的高级结构,但不显示特定的服务。它反映了上一节中讨论的专用账户结构,我们在此处加入了图表,以围绕架构的主要组件进行讨论:
-
图中显示的所有账户都属于一个 AWS 组织。
-
图的左上角是组织管理账户,用于创建 AWS 组织。
-
组织管理账户下方是具有两个特定帐户的安全 OU:一个用于安全工具,另一个用于日志存档。
-
右侧是带有网络帐户和共享服务帐户的基础架构 OU。
-
图的底部是工作负载 OU,它与存放企业应用程序的应用程序帐户相关联。
在本指南中,所有账户都被视为在单个 AWS 区域账户中运行的生产(生产)账户。大多数 AWS 服务 (全球服务除外)都是按区域划分的,这意味着服务的控制平面和数据平面独立存在于每个服务中。 AWS 区域因此,您必须在计划使用的所有 AWS 区域 内容中复制此架构,以确保覆盖整个 AWS 景观。如果您在特定区域中没有任何工作负载 AWS 区域,则应使用SCPs或使用日志和监控机制禁用该区域。您可以使用 Security Hub CSPM 将多个聚合区域的发现结果和安全评分汇总 AWS 区域 到单个聚合区域,以实现集中可见性。
在托管拥有大量账户的 AWS 组织时,拥有一个便于账户部署和账户管理的协调层是有益的。 AWS Control Tower 提供了一种设置和管理 AWS 多账户环境的简单方法。GitHub 存储库
