本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # AWS AWS SRA 的组织和账户结构 | | | --- | | 通过进行[简短的调查](https://amazonmr.au1.qualtrics.com/jfe/form/SV_e3XI1t37KMHU2ua)来影响 AWS 安全参考架构 (AWS SRA) 的未来。 | 下图捕捉了 AWS SRA 的高级结构,但不显示特定的服务。它反映了上一节中讨论的专用账户结构,我们在此处加入了图表,以围绕架构的主要组件进行讨论: + 图中显示的所有账户都属于一个 AWS 组织。 + 图的左上角是组织管理账户,用于创建 AWS 组织。 + 组织管理账户下方是具有两个特定帐户的安全 OU:一个用于安全工具,另一个用于日志存档。 + 右侧是带有网络帐户和共享服务帐户的基础架构 OU。 + 图的底部是工作负载 OU,它与存放企业应用程序的应用程序帐户相关联。 在本指南中,所有账户都被视为在单个 AWS 区域账户中运行的生产(生产)账户。大多数 AWS 服务 ([全球服务](https://docs.aws.amazon.com/whitepapers/latest/aws-fault-isolation-boundaries/global-services.html)除外)都是按区域划分的,这意味着服务的控制平面和数据平面独立存在于每个服务中。 AWS 区域因此,您必须在计划使用的所有 AWS 区域 内容中复制此架构,以确保覆盖整个 AWS 景观。如果您在特定区域中没有任何工作负载 AWS 区域,则应使用[SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-deny-region)或使用日志和监控机制禁用该区域。您可以使用 Security Hub CSPM 将多个聚合区域的发现结果和安全评分汇总 AWS 区域 到单个聚合区域,以实现集中可见性。 在托管拥有大量账户的 AWS 组织时,拥有一个便于账户部署和账户管理的协调层是有益的。 AWS Control Tower 提供了一种设置和管理 AWS 多账户环境的简单方法。[GitHub 存储库](https://github.com/aws-samples/aws-security-reference-architecture-examples)中的 AWS SRA 代码示例演示了如何使用[定制 AWS Control Tower (cfcT)](https://aws.amazon.com/solutions/implementations/customizations-for-aws-control-tower/) 解决方案来部署 AWS SRA 推荐的结构。 ![AWS SRA 的高级结构(不含服务)。](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/security-reference-architecture/images/consolidated.png)