本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

在整个 AWS 组织中应用安全服务

如前一节所述，客户正在寻找另一种方法来思考和战略性地组织全套 AWS 安全服务。当今最常见的组织方法是根据每项服务的作用按主要职能对安全服务进行分组。 AWS CAF 的安全视角列出了九项功能，包括身份和访问管理、基础设施保护、数据保护和威胁检测。 AWS 服务 与这些功能能力相匹配是在每个领域做出实施决策的实用方法。例如，在考虑身份和访问管理时，IAM 和 IAM 身份中心是需要考虑的服务。在设计威胁检测方法时， GuardDuty 可能是您的首要考虑因素。

作为此功能视图的补充，您还可以使用跨领域的结构视图来查看您的安全性。也就是说，除了问 “我 AWS 服务 应该用哪个来控制和保护我的身份、逻辑访问或威胁检测机制？” ，你也可以问：“我 AWS 服务 应该在整个 AWS 组织中申请哪个？ 我应该设置哪些防御层来保护作为应用程序核心的 Amazon EC2 实例？” 在此视图中，您可以将地图 AWS 服务 和要素映射到 AWS 环境中的图层。有些服务和功能非常适合在整个 AWS 组织中实施控制措施。例如，阻止公众访问 Amazon S3 存储桶是该层的特定控制措施。最好在根组织中完成，而不是作为个人账户设置的一部分。最好使用其他服务和功能来帮助保护内部的个人资源 AWS 账户。此类别的一个例子是，在需要私有 TLS 证书的账户中实现从属证书颁发机构 (CA)。另一个同样重要的分组包括对 AWS 基础架构的虚拟网络层产生影响的服务。下图显示了典型 AWS 环境中的六个层： AWS 组织、组织单位 (OU)、帐户、网络基础架构、委托人和资源。

了解这种结构背景下的服务，包括每层的控制和保护，可以帮助您在整个 AWS 环境中规划和实施 defense-in-depth策略。从这个角度来看，你可以自上而下地回答两个问题（例如，“我使用哪些服务在整个 AWS 组织中实施安全控制？”） 以及自下而上（例如，“哪些服务管理此 EC2 实例上的控制？”）。在本节中，我们将介绍 AWS 环境的各个要素，并确定相关的安全服务和功能。当然，有些 AWS 服务 具有广泛的功能集并支持多个安全目标。这些服务可能支持您 AWS 环境的多个元素。

为清楚起见，我们简要描述了某些服务如何符合既定目标。下一节将进一步讨论每项服务中的各项服务 AWS 账户。

组织范围的账户或多个账户

在顶层，有 AWS 服务 一些功能旨在将治理和控制能力或护栏应用于组织中的多个帐户（包括整个 AWS 组织或特定 OUs组织）。服务控制策略 (SCPs) 和资源控制策略 (RCPs) 是 IAM 功能的良好示例，这些功能为 AWS 整个组织提供预防性护栏。 AWS Organizations 还提供了一个声明性策略，用于集中定义和强制执行大规模的基准 AWS 服务 配置。另一个例子是 CloudTrail，它通过组织跟踪提供监控，该跟踪记录了该 AWS 组织 AWS 账户 中所有人的所有事件。这种全面的跟踪不同于可能在每个账户中创建的单个跟踪。第三个示例是 AWS Firewall Manager，您可以使用它来配置、应用和管理 AWS 组织中所有账户的多种资源： AWS WAF 规则、 AWS WAF 经典规则、 AWS Shield Advanced 保护、Amazon Virtual Private Cloud (Amazon VPC) 安全组、 AWS Network Firewall 策略和 Amazon Route 53 Resolver DNS 防火墙策略。

下图中标有星号 (*) 的服务具有双重范围：组织范围和以客户为中心。这些服务从根本上监控或帮助控制个人账户的安全性。但是，它们还支持将多个账户的结果汇总到一个组织范围的账户中，以实现集中可见性和管理。为清楚起见 SCPs ，请考虑这适用于整个 OU 或 AWS 组织。 AWS 账户相比之下，您可以在账户级别（生成个人调查结果的地方）和 AWS 组织级别（使用委托管理员功能）配置和管理 GuardDuty ，在这些级别上，可以聚合查看和管理调查结果。

AWS 账户

在内部 OUs，有一些服务可以帮助保护其中多种类型的元素 AWS 账户。例如，通常 AWS Secrets Manager 由特定账户进行管理，并保护该账户中的资源（例如数据库凭据或身份验证信息）、应用程序和该账户 AWS 服务 中的资源。可以将 IAM Access Analyzer 配置为在外部委托人可以访问指定资源时生成调查结果。 AWS 账户如上一节所述，其中许多服务也可以在其中配置和管理 AWS Organizations，因此可以跨多个账户进行管理。这些服务在图中标有星号 (*)。它们还可以更轻松地汇总来自多个账户的结果并将其发送到单个账户。这为各个应用程序团队提供了灵活性和可见性，以管理特定于其工作负载的安全需求，同时还允许集中式安全团队进行管理和可见性。 GuardDuty 就是此类服务的一个例子。 GuardDuty 监控与单个账户关联的资源和活动，并且可以通过委派的管理员账户收集、查看和管理来自多个成员账户（例如 AWS 组织中的所有账户）的 GuardDuty 调查结果。

虚拟网络、计算和内容交付

由于网络访问对安全至关重要，而计算基础设施是许多 AWS 工作负载的基本组成部分，因此有许多 AWS 安全服务和功能专用于这些资源。例如，Amazon Inspector 是一项漏洞管理服务，可以持续扫描您的 AWS 工作负载中是否存在漏洞。这些扫描包括网络可访问性检查，以表明您的环境中允许存在指向 Amazon EC2 实例的网络路径。Amazon VPC 允许您定义一个可以在其中启动 AWS 资源的虚拟网络。该虚拟网络与传统网络非常相似，具有多种功能和优点。VPC 终端节点使您能够私密地将您的 VPC 连接到支持的终端节点服务 AWS 服务 以及由其提供支持的终端节点服务， AWS PrivateLink 而无需访问互联网的路径。下图说明了以网络、计算和内容交付基础设施为重点的安全服务。

校长和资源

AWS 委托人和 AWS 资源（以及 IAM 策略）是上 AWS身份和访问管理的基本要素。中经过身份验证的委托人 AWS 可以执行操作和访问 AWS 资源。委托人可以作为 AWS 账户 根用户和 IAM 用户进行身份验证，也可以通过担任角色进行身份验证。 

AWS 资源是存在于可以 AWS 服务 使用的对象。示例包括 EC2 实例、 CloudFormation 堆栈、亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 主题和 S3 存储桶。IAM 策略是在与 IAM 委托人（用户、群组或角色）或 AWS 资源关联时定义权限的对象。基于身份的策略是您附加到委托人（角色、用户和用户组）的策略文档，用于控制委托人可以执行哪些操作、对哪些资源以及在哪些条件下执行哪些操作。基于资源的策略是您附加到资源（例如 S3 存储桶）的策略文档。这些策略向指定的委托人授予对该资源执行特定操作的权限，并定义该权限的条件。基于资源的策略是内联策略。I AM 资源部分深入探讨了 IAM 策略的类型及其使用方式。

为了简化本次讨论，我们列出了面向以账户委托人操作或申请账户委托人为主要目的的 IAM 委托人的 AWS 安全服务和功能。我们保持这种简单性，同时承认 IAM 权限策略的灵活性和影响广度。策略中的单个声明可以对多种类型的 AWS 实体产生影响。例如，尽管基于 IAM 身份的策略与 IAM 委托人关联并定义了该委托人的权限（允许、拒绝），但该策略还隐式定义了对指定操作、资源和条件的权限。这样，基于身份的策略可以成为定义资源权限的关键要素。

下图说明了为 AWS 委托人提供的 AWS 安全服务和功能。基于身份的策略附加到 IAM 用户、组或角色。这些策略可让您指定该身份可执行哪些操作（其权限）。IAM 会话策略是用户代入角色时在会话中传递的内联权限策略。您可以自己传递策略，也可以将身份代理配置为在您的身份联合时插入策略。 AWS这使您的管理员能够减少必须创建的角色数量，因为多个用户可以扮演相同的角色，但具有唯一的会话权限。IAM Identity Center 服务与 AWS Organizations AWS API 操作集成，可帮助您管理 SSO 访问权限和用户权限。 AWS 账户 AWS Organizations

下图说明了账户资源的服务和功能。基于资源的策略附加到某个资源。例如，您可以将基于资源的策略附加到 S3 存储桶、亚马逊简单队列服务 (Amazon SQS) Simple Queue SQUEE 队列、VPC 终端节点和加密密钥。 AWS KMS 您可以使用基于资源的策略来指定谁有权访问资源以及他们可以对资源执行哪些操作。S3 存储桶策略、 AWS KMS 密钥策略和 VPC 终端节点策略是基于资源的策略的类型。IAM Access Analyzer帮助您标识企业和账户中与外部实体共享的资源，例如 S3 存储桶或 IAM 角色。这使您可以识别对您的资源和数据的意外访问，这是一种安全风险。 AWS Config 使您能够评估、审核和评估中受支持 AWS 资源的配置 AWS 账户。 AWS Config 持续监控和记录 AWS 资源配置，并根据所需的配置自动评估记录的配置。