本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # AWS 安全参考架构 (AWS SRA)-核心架构 *亚马逊 Web Services 全球服务安全团队*([贡献者](contributors.md)) *2025 年 12 月*([文档历史记录](doc-history.md)) | | | --- | | 通过进行[简短的调查](https://amazonmr.au1.qualtrics.com/jfe/form/SV_e3XI1t37KMHU2ua)来影响 AWS 安全参考架构 (AWS SRA) 的未来。 | Amazon Web Services (AWS) 安全参考架构 (AWS SRA) 是一套完整的指南,用于在多账户环境中部署全套 AWS 安全服务。使用它来帮助设计、实施和管理 AWS 安全服务,使其符合 AWS 建议的做法。*这些建议是围绕单页架构构建的,该架构包括 AWS 安全服务,它们如何帮助实现安全目标,在哪里可以最好地部署和管理这些服务 AWS 账户,以及它们如何与其他安全服务交互。*本总体架构指南补充了详细的、特定于服务的建议,例如[AWS 安全文档网站](https://docs.aws.amazon.com/security/)上的建议。 架构和随附的建议基于我们与 AWS 企业客户的集体经验。本文档是一份参考资料,一套用于保护特定环境的全面指南,而 [AWS SRA 代码存储库](code-repo.md)中的解决方案模式是针对本参考文献中说明的特定架构设计的。 AWS 服务 每个客户都有不同的要求。因此,您的 AWS 环境设计可能与此处提供的示例有所不同。**您需要修改和定制这些建议,以适应您的个人环境和安全需求。** 在整篇文档中,我们会酌情为经常出现的替代方案提出建议。  AWS SRA 是一套活生动的指南,会根据新的服务和功能发布、客户反馈以及不断变化的威胁形势定期更新。每次更新都将包括修订日期和相关的[变更日志](doc-history.md)。  尽管我们依赖单页图表作为基础,但该架构比单个方框图更深入,并且必须建立在基础和安全原则的结构良好的基础之上。您可以通过两种方式使用本文档:作为叙述或作为参考。这些主题以故事形式组织,因此您可以从头到尾(基础安全指南)阅读它们(讨论可以实现的代码示例)。或者,您可以浏览文档,重点介绍与您的需求最相关的安全原则、服务、账户类型、指南和示例。  本文档分为以下各节和附录: + Ab@@ [out the AWS SRA 图书馆](about-sra-library.md)概述了 AWS SRA 出版物集中包含的技术指南和代码。 + [AWS SRA 的价值讨论了构建 SR](value.md) AWS A 的动机,描述了如何使用它来帮助提高安全性,并列出了关键要点。 + [安全基础](foundations.md)回顾了 AWS 云采用框架 (AWS CAF)、Well-Ar AWS chitected 框架和 AWS 责任共担模型,并重点介绍了与 SRA 特别相关的元素。 AWS + [AWS Organizations、账户和 IAM guardrails](organizations.md) 介绍了该 AWS Organizations 服务,讨论了基础安全功能和防护措施,并概述了我们推荐的多账户策略。 + [AWS 安全参考架构](architecture.md)是一个单页架构图,显示了功能 AWS 账户以及普遍可用的安全服务和功能。 + [用于安全的 AI/ML](ai-ml.md) 描述了如何在后台 AWS 服务 使用人工智能和机器学习 (AI/ML) 来帮助您实现特定的安全目标。您可以将它们包含 AWS 服务 在设计中,以利用高级安全功能。 + [构建安全架构 ― 根据 AWS SRA 提供的参考资料,分阶段的方法](phases.md)提供了有关如何分六个迭代阶段构建自己的安全架构的指导。 + [AWS SRA 最佳实践清单](checklist.md)将整个指南中讨论的建议提炼成一份清单,您可以在构建安全架构版本时遵循该清单。 + [IAM 资源](iam-resources.md)提供了一份摘要和一组指导 AWS Identity and Access Management (IAM) 指南,这些指南对您的安全架构很重要。 + [AWS SRA 示例的代码存储库](code-repo.md)提供了相关[GitHub 存储库的概述,该存储库](https://github.com/aws-samples/aws-security-reference-architecture-examples)将帮助开发人员和工程师部署本文档中介绍的一些指导和架构模式。你可以使用 AWS CloudFormation 或 Terraform 来部署示例。 HashiCorp它们同时支持 AWS Control Tower 和非AWS Control Tower 环境。 [附录](appendix.md)包含各个 AWS 安全、身份和合规服务的列表,并提供了指向有关每项服务的更多信息的链接。“[文档历史记录](doc-history.md)” 部分提供了用于跟踪此文档版本的变更日志。您也可以订阅 [RSS 提](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-reference-architecture.rss)要以获取变更通知。