组织管理账户 - AWS 规范性指导
服务控制策略资源控制政策声明式策略集中式根访问权限IAM Identity CenterIAM 访问顾问AWS Systems ManagerAWS Control TowerAWS Artical分布式和集中式安全服务护栏

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

组织管理账户

通过进行简短的调查来影响 AWS 安全参考架构 (AWS SRA) 的未来。

下图说明了在组织管理账户中配置的 AWS 安全服务。

组织管理账户的安全服务

本指南前面的 “使用 AWS Organizations 确保安全和 “管理账户、可信访问权限和委托管理员” 部分深入讨论了组织管理账户的目的和安全目标。请遵循组织管理账户的安全最佳实践。其中包括使用由您的企业管理的电子邮件地址、保留正确的管理和安全联系信息(例如,在 AWS 需要联系账户所有者时向账户添加电话号码)、为所有用户启用多因素身份验证 (MFA),以及定期查看谁有权访问组织管理账户。在组织管理账户中部署的服务应配置适当的角色、信任策略和其他权限,这样这些服务的管理员(必须使用组织管理账户访问这些服务)也不会不当访问其他服务。

服务控制策略

助 AWS O rganizations,您可以集中管理多个 AWS 账户的策略。例如,您可以将服务控制策略 (SCPs) 应用于作为组织成员的多个 AWS 账户。 SCPs 允许您定义组织成员 AWS 账户中的 A WS 身份与访问管理 (IAM) 实体(例如 IAM 用户和角色) APIs 可以运行和不能运行哪些 AWS 服务。 SCPs 是通过组织管理账户创建和应用的,组织管理账户是您在创建组织时使用的 AWS 账户。 SCPs 在本参考文献前面的 “使用 AWS Organizations 确保安全” 部分中阅读更多相关信息。 

如果您使用 AWS Control Tower 来管理您的 AWS 组织,它将部署一套 SCPs作为预防性护栏(分为必填项、强烈推荐或选择性)。这些护栏通过在组织范围内实施安全控制来帮助您管理资源。它们 SCPs 会自动使用值为的 aws-control-tower标签 managed-by-control-tower。 

设计注意事项

  • SCPs 仅影响 AWS 组织中的成员账户。尽管它们是从组织管理账户应用的,但它们对该账户中的用户或角色没有影响。要了解 SCP 评估逻辑的工作原理并查看推荐结构的示例,请参阅 AWS 博客文章如何在 AWS Organizations 中使用服务控制策略。

资源控制政策

资源控制策略 (RCPs) 提供对组织中资源的最大可用权限的集中控制。RCP 定义了权限护栏或对身份可以对组织中的资源执行的操作设置限制。您可以使用 RCPs 来限制谁可以访问您的资源,并强制要求如何访问您组织的成员 AWS 账户中的资源。您可以 RCPs 直接关联到个人账户或组织根帐户。 OUs有关 RCPs工作原理的详细说明,请参阅 AWS Organizations 文档中的 RCP 评估。 RCPs 在本参考文献前面的 “使用 AWS Organizations 确保安全” 部分中阅读更多相关信息。

如果您使用 AWS Control Tower 来管理您的 AWS 组织,它将部署一套 RCPs作为预防性护栏(分为必填项、强烈推荐或选择性)。这些护栏通过在组织范围内实施安全控制来帮助您管理资源。它们 SCPs 会自动使用值为的aws-control-tower标签managed-by-control-tower

设计注意事项

声明式策略

声明性策略是一种 AWS Organizations 管理策略,可帮助您在整个组织中大规模地集中声明和强制执行给定 AWS 服务的所需配置。声明性政策目前支持亚马逊弹性计算云(亚马逊 EC2)、亚马逊虚拟私有云(亚马逊 VPC)和亚马逊弹性区块存储(亚马逊 EBS)El astic Block Store(亚马逊 E BS)服务。可用的服务属性包括强制执行实例元数据服务版本 2 (IMDSv2)、允许通过 EC2 串行控制台进行故障排除、允许亚马逊系统映像 (AMI) 设置以及阻止公众访问 Amazon EBS 快照、Amazon 和 Amaz EC2 AMIs on VPC 资源。有关最新支持的服务和属性,请参阅 AWS Organizations 文档中的声明性政策。

您可以通过在 AWS Organizations 和 AWS Control Tower 控制台上进行一些选择,或者使用一些 AWS 命令行界面 (AWS CLI) 和 AWS SDK 命令来强制执行 AWS 服务的基准配置。声明性策略在服务的控制平面中强制执行,这意味着即使服务引入了新功能,或者向组织添加了新账户,或者创建了新的委托人和资源 APIs,AWS 服务的基准配置也始终保持不变。声明式策略可以应用于整个组织或特定 OUs 或帐户。有效的策略是继承自组织根目录的一组规则, OUs以及直接关联到账户的策略。 如果分离了声明性策略,则该属性状态将回滚到附加声明性策略之前的状态。

您可以使用声明性策略来创建自定义错误消息。例如,如果 API 操作因声明性策略而失败,则可以设置错误消息或提供自定义 URL,例如指向内部 wiki 的链接或描述失败的消息的链接。这有助于为用户提供更多信息,以便他们可以自己解决问题。您还可以使用 AWS 对创建声明性策略、更新声明性策略和删除声明性策略的过程进行审计。 CloudTrail

声明式策略提供账户状态报告,使您能够查看范围内账户的声明性策略支持的所有属性的当前状态。您可以选择 OUs 要包含在报告范围内的帐户,也可以通过选择根目录来选择整个组织。此报告可帮助您评估准备情况,方法是按照 AWS 区域进行细分,并指定各账户之间属性的当前状态是一致(通过numberOfMatchedAccounts值)还是各账户之间不一致(通过numberOfUnmatchedAccounts值)。

设计注意事项

  • 使用声明性策略配置服务属性时,该策略可能会影响多个 APIs属性。任何不合规的操作都将失败。账户管理员将无法在个人账户级别修改服务属性的值。

集中式根访问权限

AWS Organizations 中的所有成员账户都有自己的根用户,该用户可以完全访问该成员账户中的所有 AWS 服务和资源。IAM 提供集中式根访问管理,以管理所有成员账户的根访问权限。这有助于防止使用成员 root 用户,并有助于提供大规模恢复。集中式根访问功能具有两项基本功能:根凭据管理和根会话。

  • 根凭证管理功能允许集中管理,并有助于保护所有管理账户的 root 用户。此功能包括删除长期根证书、防止成员账户恢复根凭证,以及默认情况下配置没有根凭证的新成员账户。它还提供了一种证明合规性的简便方法。在集中管理根用户时,您可以删除根用户密码、访问密钥和签名证书,并停用所有成员账户的多因素身份验证 (MFA)。

  • 根会话功能使您能够使用来自组织管理账户或委托管理员账户的成员账户的短期凭证来执行特权根用户操作。此功能可帮助您启用短期 root 访问权限,该权限仅限于特定的操作,同时遵循最低权限原则。

要进行集中式根凭据管理,您需要通过组织管理账户或委派管理员账户在组织级别启用根凭证管理和根会话功能。按照 AWS SRA 最佳实践,我们将此功能委托给安全工具账户。有关配置和使用集中根用户访问权限的信息,请参阅 AWS 安全博客文章《使用 AWS Organization s 集中管理客户的根访问权限》。

IAM Identity Center

AWS IAM 身份中心(AWS Single Sign-On 的继任者)是一项身份联合服务,可帮助您集中管理对所有 AWS 账户、委托人和云工作负载的 SSO 访问权限。IAM Identity Center 还可以帮助您管理对常用的第三方软件即服务 (SaaS) 应用程序的访问和权限。身份提供商使用 SAML 2.0 与 IAM 身份中心集成。批量 just-in-time配置可以通过使用跨域身份管理系统 (SCIM) 来完成。IAM 身份中心还可以通过使用 AWS Directory Service 作为身份提供商与本地或 AWS 管理的 Microsoft Active Directory (AD) 域集成。IAM Identity Center 包括一个用户门户,您的最终用户可以在其中一处查找和访问他们分配的 AWS 账户、角色、云应用程序和自定义应用程序。

默认情况下,IAM Identity Center 与 AWS Organizations 集成,并在组织管理账户中运行。但是,为了行使最低权限并严格控制对管理账户的访问权限,可以将 IAM Identity Center 的管理委托给特定的成员账户。在 AWS SRA 中,共享服务账户是 IAM 身份中心的委托管理员账户。在 IAM Identity Center 启用委托管理之前,请查看以下注意事项。您可以在共享服务帐户部分找到有关委托的更多信息。即使您启用了委托,IAM Identity Center 仍需要在组织管理账户中运行才能执行某些与 IAM Identity Center 相关的任务,包括管理在组织管理账户中配置的权限集。 

在 IAM Identity Center 控制台中,账户按其封装 OU 显示。这使您能够快速发现自己的 AWS 账户,应用常用权限集,并从中心位置管理访问权限。 

IAM Identity Center 包括一个身份存储,必须存储特定的用户信息。但是,IAM 身份中心不必是员工信息的权威来源。如果您的企业已经拥有权威来源,则 IAM Identity Center 支持以下类型的身份提供商 (IdPs)。

  • IAM Identity Center 身份存储 — 如果以下两个选项不可用,请选择此选项。在身份存储中创建用户、进行群组分配和分配权限。即使您的权威来源位于 IAM Identity Center 之外,委托人属性的副本也将与身份存储一起存储。

  • Microsoft Active Directory (AD) — 如果您想继续管理微软 AWS Directory Active Directory 中的 AWS 目录或活动目录中的自管理目录中的用户,请选择此选项。

  • 外部身份提供商- 如果您更喜欢在基于 SAML 的外部第三方 IdP 中管理用户,请选择此选项。

您可以依赖企业中已经存在的现有 IdP。这使得管理多个应用程序和服务的访问权限变得更加容易,因为您可以从一个位置创建、管理和撤消访问权限。例如,如果有人离开您的团队,您可以撤消他们从一个地点对所有应用程序和服务(包括 AWS 账户)的访问权限。这减少了对多个证书的需求,并为您提供了与人力资源 (HR) 流程集成的机会。

设计注意事项

  • 如果您的企业可以使用外部 IdP 选项,请使用该选项。如果您的 IdP 支持跨域身份管理系统 (SCIM),请利用 IAM Identity Center 中的 SCIM 功能自动配置用户、群组和权限(同步)。这样,对于新员工、要调到其他团队的员工以及即将离职的员工,AWS 访问权限可以与您的公司工作流程保持同步。在任何给定时间,您只能将一个目录或一个 SAML 2.0 身份提供商连接到 IAM 身份中心。但是,您可以切换到其他身份提供商。

IAM 访问顾问

IAM 访问顾问以您的 AWS 账户的服务上次访问信息的形式提供可追溯性数据,以及 OUs。使用此侦探控件为最低权限策略做出贡献。对于 IAM 实体,您可以查看两种类型的上次访问信息:允许的 AWS 服务信息和允许的操作信息。此信息包括进行尝试的日期和时间。 

通过组织管理账户中的 IAM 访问权限,您可以查看 AWS 组织中组织管理账户、OU、成员账户或 IAM 政策的上次访问服务数据。此信息可在管理账户的 IAM 控制台中找到,也可以使用 AWS 命令行界面 (AWS CLI) APIs 中的 IAM 访问顾问或编程客户端以编程方式获取。该信息指明组织或账户中的哪些主体上次尝试访问该服务以及尝试访问的时间。上次访问的信息提供了对实际服务使用情况的见解(参见示例场景),因此您可以将 IAM 权限减少到仅限实际使用的服务。

AWS Systems Manager

AWS Systems Manager 的功能是 “快速设置” 和 “资源管理器”,它们都支持 AWS 组织并通过组织管理账户进行操作。 

快速设置是 S ystems Manager 的一项自动化功能。它使组织管理账户能够轻松定义配置,让 Systems Manager 代表您在 AWS 组织中跨账户进行互动。您可以在整个 AWS 组织中启用快速设置,也可以选择特定的 OUs。快速设置可以安排 AWS Systems Manager 代理(SSM 代理)每两周对您的 EC2 实例运行一次更新,并且可以设置对这些实例的每日扫描以识别缺失的补丁。 

Explorer 是一个可自定义的操作控制面板,用于报告有关您的 AWS 资源的信息。Explorer 显示您的 AWS 账户和各个 AWS 区域的运营数据的汇总视图。这包括有关您的 EC2 实例的数据和补丁合规性详细信息。在 AWS Organizations 中完成集成设置(其中还包括 Systems Manager OpsCenter)后,您可以按 OU 在 Explorer 中聚合数据或整个 AWS 组织的数据。Systems Manager 会将数据聚合到 AWS 组织管理账户中,然后再将其显示在 Explorer 中。

本指南后面的 “工作负载 OU” 部分讨论了在应用程序账户中的 EC2 实例上使用 Systems Manager 代理(SSM 代理)的情况。

AWS Control Tower

AWS Control Tower 提供了一种设置和管理安全的多账户 AWS 环境(称为着陆区)的简单方法。AWS Control Tower 使用 AWS Organizations 创建您的着陆区,并提供持续的账户管理和治理以及实施最佳实践。您可以使用 AWS Control Tower 通过几个步骤配置新账户,同时确保账户符合您的组织政策。您甚至可以将现有账户添加到新的 AWS Control Tower 环境中。 

AWS Control Tower 具有一系列广泛而灵活的功能。一项关键功能是它能够协调其他几个 AWS 服务的能力,包括 AWS Organizations、AWS Service Catalog 和 IAM Identity Center,以建立着陆区。例如,默认情况下,AWS Control Tower 使用 AWS CloudFormation 来建立基准,使用 AWS Organizations 的服务控制策略 (SCPs) 来防止配置更改,使用 AWS Config 规则来持续检测不合规行为。AWS Control Tower 采用蓝图,可帮助您快速调整多账户 AWS 环境与 A WS 架构完善的安全基础设计原则。在监管功能中,AWS Control Tower 提供的防护栏可防止部署不符合所选策略的资源。 

您可以使用 AWS Control Tower 开始实施 AWS SRA 指南。例如,AWS Control Tower 使用推荐的多账户架构建立了一个 AWS 组织。它提供了蓝图,用于提供身份管理、提供账户联合访问权限、集中日志记录、建立跨账户安全审计、定义配置新账户的工作流程,以及使用网络配置实施账户基准。 

在 AWS SRA 中,AWS Control Tower 位于组织管理账户中,因为 AWS Control Tower 使用该账户自动建立 AWS 组织并将该账户指定为管理账户。此账户用于在整个 AWS 组织中进行账单。它还用于 Account Factory 配置账户 OUs、管理和管理护栏。如果您在现有 AWS 组织中启动 AWS Control Tower,则可以使用现有的管理账户。AWS Control Tower 将使用该账户作为指定的管理账户。

设计注意事项

  • 如果您想对账户中的控制和配置进行额外的基准化,则可以使用 AWS Control Tower 的自定义 (cfcT)。使用 cfcT,您可以使用 AWS CloudFormation 模板和服务控制策略 (SCPs) 来自定义 AWS Control Tower 着陆区。您可以将自定义模板和策略部署到个人账户和组织 OUs 内部。cfcT 与 AWS Control Tower 生命周期事件集成,可确保资源部署与您的着陆区保持同步。 

AWS Artical

AWS Artifac t 提供按需访问 AWS 安全与合规报告以及精选在线协议的权限。AWS Artifact 中提供的报告包括系统和组织控制 (SOC) 报告、支付卡行业 (PCI) 报告,以及来自不同地区和合规垂直行业的认证机构的认证,这些认证旨在验证 AWS 安全控制的实施和运营效率。AWS Artifact 通过提高安全控制环境的透明度,帮助您对 AWS 进行尽职调查。它还允许您通过即时访问新报告来持续监控 AWS 的安全和合规性。 

AWS Artifact 协议使您能够查看、接受和跟踪 AWS 协议的状态,例如个人账户和属于您组织的 AWS Organizations 账户的商业伙伴附录 (BAA)。 

您可以将 AWS 审计项目提供给您的审计师或监管机构,作为 AWS 安全控制的证据。您还可以使用某些 AWS 审计项目提供的责任指南来设计您的云架构。本指南有助于确定您可以采取哪些其他安全控制措施来支持系统的特定用例。 

AWS Artifacts 托管在组织管理账户中,为您提供一个中心位置,供您查看、接受和管理与 AWS 达成的协议。这是因为管理账户接受的协议会向下流向成员账户。 

设计注意事项

  • 应限制组织管理账户中的用户只能使用 AWS Artifact 的协议功能,不得使用其他任何功能。为了实现职责分离,AWS Artifact 还托管在安全工具账户中,您可以将访问审计项目的权限委托给您的合规利益相关者和外部审计员。您可以通过定义精细的 IAM 权限策略来实现这种分离。有关示例,请参阅 AWS 文档中的 IA M 策略示例。

分布式和集中式安全服务护栏

在 AWS SRA 中,AWS Security Hub CSPM、Amazon GuardDuty、AWS Config、IAM Access Analyzer、AWS CloudTrail 组织跟踪以及 Amazon Macie 通常都部署了适当的委托管理或聚合到安全工具账户。这可以实现跨账户的一套一致的护栏,还可以为您的 AWS 组织提供集中式监控、管理和治理。您可以在 AWS SRA 中代表的每种账户类型中找到这组服务。这些应该是 AWS 服务的一部分,这些服务必须作为账户注册和基准制定流程的一部分进行配置。GitHub代码存储库提供了在您的账户(包括 AWS 组织管理账户)中实施以安全为重点的 AWS 服务的示例。 

除了这些服务外,AWS SRA 还包括两项以安全为重点的服务,Amazon Detective 和 AWS Audit Manager,它们支持 AWS Organizations 中的集成和委托管理员功能。但是,这些不包括在账户基准的推荐服务中。我们已经看到,这些服务最适合在以下场景中使用:

  • 您有一个专门的团队或一组资源来执行这些数字取证和 IT 审计职能。Amazon Detective 最适合安全分析团队使用,而 AWS Audit Manager 对您的内部审计或合规团队很有帮助。

  • 您希望在项目开始时专注于一组核心工具,例如 GuardDuty 和 Security Hub CSPM,然后使用提供额外功能的服务在这些工具的基础上再接再厉。