本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
组织管理账户
| 通过进行简短的调查 |
下图说明了在组织管理账户中配置 AWS 的安全服务。
本指南前面的 “AWS Organizations 用于安全性” 和 “管理账户、可信访问权限和委派管理员” 部分深入讨论了组织管理账户的目的和安全目标。请遵循组织管理账户的安全最佳实践。其中包括使用由您的企业管理的电子邮件地址、维护正确的管理和安全联系信息(例如,在 AWS 需要联系账户所有者时向账户添加电话号码)、为所有用户启用多因素身份验证 (MFA),以及定期查看谁有权访问组织管理账户。在组织管理账户中部署的服务应配置适当的角色、信任策略和其他权限,这样这些服务的管理员(必须使用组织管理账户访问这些服务)也不会不当访问其他服务。
服务控制策略
借AWS Organizations
如果您使用 AWS Control Tower 来管理您的 AWS 组织,它将部署一套 SCPs 作为预防性护栏(分为必填项、强烈建议或选择性)。这些护栏通过在组织范围内实施安全控制来帮助您管理资源。它们 SCPs 会自动使用值为的 aws-control-tower标签 managed-by-control-tower。
设计注意事项
SCPs 仅影响 AWS
组织中的成员帐户。尽管它们是从组织管理账户应用的,但它们对该账户中的用户或角色没有影响。要了解 SCP 评估逻辑的工作原理以及推荐结构的示例,请参阅中的 AWSAWS Organizations博客文章 “如何使用服务控制策略
资源控制策略
资源控制策略 (RCPs) 提供对组织中资源的最大可用权限的集中控制。RCP 定义了权限护栏或对身份可以对组织中的资源执行的操作设置限制。您可以使用 RCPs 来限制谁可以访问您的资源,并强制要求组织成员如何访问您的资源 AWS 账户。您可以 RCPs 直接关联到个人账户或组织根帐户。 OUs有关 RCPs 工作原理的详细说明,请参阅 AWS Organizations 文档中的 RCP 评估。 RCPs 在本参考文献前面的 “AWS Organizations 用于安全性” 一节中阅读更多相关信息。
如果您使用 AWS Control Tower 来管理您的 AWS 组织,它将部署一套 RCPs 作为预防性护栏(分为必填项、强烈建议或选择性)。这些护栏通过在组织范围内实施安全控制来帮助您管理资源。它们 SCPs 会自动使用值为的aws-control-tower标签managed-by-control-tower。
设计注意事项
-
RCPs 仅影响组织中成员账户中的资源。对管理账户中的资源没有任何影响。这也意味着这 RCPs 适用于被指定为授权管理员的成员账户。
-
RCPs 适用于其子集的资源 AWS 服务。有关更多信息,请参阅 AWS Organizations 文档 RCPs中的支持列表。 AWS 服务 您可以使用AWS Config 规则
和AWS Lambda 函数 来监控和自动执行对当前不支持的资源的安全控制 RCPs。
声明式策略
声明式策略是一种 AWS Organizations 管理策略,可帮助您在整个组织中大规模地集中声明和强制执行给定 AWS 服务 配置所需的配置。声明性政策目前支持亚马逊 EC2、亚马逊
您可以 AWS 服务 通过在 AWS Organizations 和 AWS Control Tower 控制台上进行一些选择或使用几个 AWS Command Line Interface (AWS CLI) 和 AWS SDK 命令来强制执行基准配置。声明式策略是在服务的控制平面中强制执行的,这意味着即使服务引入了新功能,或者向组织添加了新帐户 APIs,或者创建了新的委托人和资源,也始终保持了的基准配置。 AWS 服务 声明式策略可以应用于整个组织或特定 OUs 或帐户。有效的策略是继承自组织根目录的一组规则, OUs 以及直接关联到账户的策略。 如果分离了声明性策略,则该属性状态将回滚到附加声明性策略之前的状态。
您可以使用声明性策略来创建自定义错误消息。例如,如果 API 操作因声明性策略而失败,则可以设置错误消息或提供自定义 URL,例如指向内部 wiki 的链接或描述失败的消息的链接。这有助于为用户提供更多信息,以便他们可以自己解决问题。您还可以使用来审核创建声明性策略、更新声明性策略和删除声明性策略的过程。 AWS CloudTrail
声明式策略提供账户状态报告,使您能够查看范围内账户的声明性策略支持的所有属性的当前状态。您可以选择 OUs 要包含在报告范围内的帐户,也可以通过选择根目录来选择整个组织。此报告通过提供细分 AWS 区域 并指定属性的当前状态是跨账户(通过值)一致还是不同账户(通过numberOfMatchedAccounts值)不一致(通过numberOfUnmatchedAccounts值)来帮助您评估准备情况。
设计注意事项
使用声明性策略配置服务属性时,该策略可能会影响多个 APIs属性。任何不合规的操作都将失败。账户管理员将无法在个人账户级别修改服务属性的值。
集中式根访问权限
中的所有成员账户 AWS Organizations 都有自己的根用户,该用户可以完全访问该成员账户中的所有资源 AWS 服务 和资源。IAM 提供集中式根访问管理,以管理所有成员账户的根访问权限。这有助于防止使用成员 root 用户,并有助于提供大规模恢复。集中式根访问功能具有两项基本功能:根凭据管理和根会话。
-
根凭证管理功能允许集中管理,并有助于保护所有管理账户的 root 用户。此功能包括删除长期根证书、防止成员账户恢复根凭证,以及默认情况下配置没有根凭证的新成员账户。它还提供了一种证明合规性的简便方法。在集中管理根用户时,您可以删除根用户密码、访问密钥和签名证书,并停用所有成员账户的多因素身份验证 (MFA)。
-
根会话功能使您能够使用来自组织管理账户或委托管理员账户的成员账户的短期凭证来执行特权根用户操作。此功能可帮助您启用短期 root 访问权限,该权限仅限于特定的操作,同时遵循最低权限原则。
要进行集中式根凭据管理,您需要通过组织管理账户或委派管理员账户在组织级别启用根凭证管理和根会话功能。按 AWS 照 SRA 最佳实践,我们将此功能委托给安全工具账户。有关配置和使用集中根用户访问权限的信息,请参阅 S AWS ecurity 博客文章《使用集中管理客户的根访问权限
IAM Identity Center
AWS IAM Identity Center
默认情况下,IAM Identity Center AWS Organizations 与组织管理账户进行原生集成并在组织管理账户中运行。但是,为了行使最低权限并严格控制对管理账户的访问权限,可以将 IAM Identity Center 的管理委托给特定的成员账户。在 AWS SRA 中,共享服务账户是 IAM 身份中心的委派管理员账户。在 IAM Identity Center 启用委托管理之前,请查看以下注意事项
在 IAM Identity Center 控制台中,账户按其封装 OU 显示。这使您能够快速发现自己的权限 AWS 账户,应用常用权限集,并从中央位置管理访问权限。
IAM Identity Center 包括一个身份存储,必须存储特定的用户信息。但是,IAM Identity Center 不一定是员工信息的权威来源。如果您的企业已经拥有权威来源,则 IAM Identity Center 支持以下类型的身份提供商 (IdPs)。
-
IAM Identity Center 身份存储 — 如果以下两个选项不可用,请选择此选项。在身份存储中创建用户、进行群组分配和分配权限。即使您的权威来源位于 IAM Identity Center 之外,委托人属性的副本也将与身份存储一起存储。
-
Microsoft Active Directory (AD) — 如果要继续管理活动目录中的用户 AWS Directory Service for Microsoft Active Directory 或自己管理的目录中的用户,请选择此选项。
-
外部身份提供商- 如果您更喜欢在基于 SAML 的外部第三方 IdP 中管理用户,请选择此选项。
您可以依靠企业中已经存在的现有 IdP。这样可以更轻松地管理跨多个应用程序和服务的访问权限,因为您可以从一个位置创建、管理和撤消访问权限。例如,如果有人离开你的团队,你可以撤消他们从一个地点对所有应用程序和服务(包括 AWS 账户)的访问权限。这减少了对多个证书的需求,并为您提供了与人力资源 (HR) 流程集成的机会。
设计注意事项
如果您的企业可以使用外部 IdP 选项,请使用该选项。如果您的 IdP 支持跨域身份管理系统 (SCIM),请利用 IAM Identity Center 中的 SCIM 功能自动配置用户、群组和权限(同步)。这样,新员工、要调到其他团队的员工以及即将离开公司的员工都可以 AWS 访问与您的公司工作流程保持同步。在任何给定时间,您只能将一个目录或一个 SAML 2.0 身份提供商连接到 IAM 身份中心。但是,您可以切换到其他身份提供商。
IAM 访问顾问
IAM 访问顾问以您 AWS 账户 和的服务上次访问信息的形式提供可追溯性数据 OUs。使用此侦探控件为最低权限策略做出贡献。对于 IAM 委托人,您可以查看两种类型的上次访问信息:允许的 AWS 服务 信息和允许的操作信息。此信息包括进行尝试的日期和时间。
通过组织管理账户中的 IAM 访问权限,您可以查看 AWS 组织管理账户、OU、成员账户或 IAM 策略的上次访问服务数据。此信息可在管理账户的 IAM 控制台中找到,也可以通过使用中的 IAM 访问顾问 APIs AWS CLI 或编程客户端以编程方式获取。该信息指明组织或账户中的哪些主体上次尝试访问该服务以及尝试访问的时间。上次访问的信息提供了对实际服务使用情况的见解(参见示例场景),因此您可以将 IAM 权限减少到仅限实际使用的服务。
AWS Systems Manager
Quick Setup 和 Explorer 是的功能 AWS Systems Manager
快速设置是 S ystems Manager 的一项自动化功能。它使组织管理帐户能够轻松定义配置,让 Systems Manager 代表您 AWS 组织中的多个账户进行互动。您可以在整个 AWS 组织中启用 “快速设置”,也可以选择特定 OUs的。Quick Setup 可以安排代 AWS Systems Manager 理(SSM Agent)每两周对您的 EC2 实例运行一次更新,并且可以设置对这些实例的每日扫描以识别缺失的补丁。
Explorer 是一个可自定义的操作仪表板,用于报告有关您的 AWS 资源的信息。Explorer 会显示您 AWS 账户及各个账户的运营数据的汇总视图 AWS 区域。这包括有关您的 EC2实例的数据和补丁合规性详细信息。在中完成集成设置(其中还包括 Systems Manager OpsCenter)后 AWS Organizations,您可以按组织单位在 Explorer 中聚合数据,也可以聚合整个 AWS 组织的数据。在资源管理器中显示数据之前,Systems Manager 会将数据聚合到 AWS 组织管理帐户中。
本指南后面的 “工作负载 OU” 部分讨论了在应用程序账户中的 EC2 实例上使用 SSM 代理的情况。
AWS Control Tower
AWS Control Tower
AWS Control Tower 具有广泛而灵活的功能集。一项关键功能是它能够协调其他几个(包括AWS 服务 AWS Organizations AWS Service Catalog、和 IAM Identity Center)的功能,以构建着陆区。例如,默认情况下, AWS Control Tower 使用服务控制策略 () AWS CloudFormation 来建立基准,使用 AWS Organizations 服务控制策略 (SCPs) 来防止配置更改,使用 AWS Config 规则 规则来持续检测不合格情况。 AWS Control Tower 采用蓝图,帮助您快速调整多账户 AWS 环境与 W AWS ell Architected 安全基础设计原则。在监管功能中, AWS Control Tower 它提供了防护,可防止部署不符合所选策略的资源。
您可以通过以下方式开始实施 AWS SRA 指南。 AWS Control Tower例如,使用推荐的多账户架构 AWS Control Tower 建立一个 AWS 组织。它提供了蓝图,用于提供身份管理、提供账户联合访问权限、集中日志记录、建立跨账户安全审计、定义配置新账户的工作流程,以及使用网络配置实施账户基准。
在 AWS SRA 中, AWS Control Tower 位于组织管理账户中,因为 AWS Control Tower 使用此账户自动设置 AWS 组织并将该账户指定为管理账户。此账户用于在整个 AWS 组织中进行计费。它还用于 Account Factory 配置账户 OUs、管理和管理护栏。如果您 AWS Control Tower 在现有 AWS 组织中启动,则可以使用现有的管理账户。 AWS Control Tower 将使用该账户作为指定的管理账户。
设计注意事项
如果您想对账户中的控制和配置进行额外的基准化,则可以使用 “定制” AWS Control Tower (
AWS Artifact
AWS Artifact
AWS Artifact 协议使您能够查看、接受和跟踪 AWS 协议的状态,例如个人账户和属于您组织中的 AWS Organizations账户的商业伙伴附录 (BAA)。
您可以向 AWS 审计师或监管机构提供审计工件作为 AWS 安全控制的证据。您还可以使用某些 AWS 审计工件提供的责任指南来设计您的云架构。本指南有助于确定您可以采取哪些其他安全控制措施来支持系统的特定用例。
AWS Artifact 托管在组织管理账户中,提供一个中心位置,您可以在其中查看、接受和管理与之达成的协议 AWS。这是因为管理账户接受的协议会向下流向成员账户。
设计注意事项
应限制组织管理账户中的用户只能使用的 “协议” 功能 AWS Artifact ,不得使用其他任何功能。为了实现职责分离,还托管在 Security Too AWS Artifact ls 账户中,您可以在其中向合规利益相关者和外部审计师委派访问审计工件的权限。您可以通过定义精细的 IAM 权限策略来实现这种分离。有关示例,请参阅 AWS 文档中的 IAM 策略示例。
分布式和集中式安全服务护栏
在 AWS SRA 中,、 AWS Security Hub AWS Security Hub CSPM、Amazon GuardDuty、 AWS Config、IAM Access Analyzer、 AWS CloudTrail
组织跟踪和 Amazon Macie 通常都部署了跨账户的适当委托护栏,还为整个组织提供集中监控、管理和治理。 AWS 你可以在 AWS SRA中代表的每种账户类型中找到这组服务。这些应该是 AWS 服务 必须作为账户入职和基准制定流程的一部分进行配置的一部分。GitHub 代码存储库
除了这些服务外, AWS SRA 还包括两项以安全为重点的服务,即 Amazon Detective 和 AWS Audit Manager,它们支持中的集成和委托管理员功能。 AWS Organizations但是,这些不包括在账户基准的推荐服务中。我们已经看到,这些服务最适合在以下场景中使用:
-
您有一个专门的团队或一组资源来执行这些数字取证和 IT 审计职能。安全分析团队最能利用 Detective,而 Audit Manager 对您的内部审计或合规团队很有帮助。
-
您希望在项目开始 AWS Security Hub CSPM 时专注于一组核心工具 AWS Config,例如 Amazon GuardDuty 和 AWS Security Hub,然后使用提供额外功能的服务在这些工具的基础上再接再厉。
