本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建置登陸區域
您有一些建立登陸區域的選項 AWS。您可以選擇受管服務來協調您的環境,或與合作夥伴合作來建置您自己的 受管服務。 AWS 提供 AWS Control Tower
上登陸區域的選項 AWS:
-
AWS Control Tower
-
自訂建置的登陸區域
交付機制:
每種方法的優點和權衡:
| 解決方案 | 優勢 | 取捨 |
|---|---|---|
|
AWS Control Tower |
|
|
|
AWS Organizations |
|
|
所有多帳戶環境產品均採用 技術 AWS Organizations。 AWS Organizations 提供基礎基礎設施和功能,供您建置和管理 AWS 環境。使用 AWS Organizations,您可以採用 提供的多帳戶策略指引 AWS ,並自行自訂您的環境,以符合您的業務需求。如果您是現有客戶,並且對目前的 AWS Organizations 實作感到滿意,您應該繼續操作目前的 AWS 環境。
AWS Control Tower
AWS Control Tower 會以 AWS 受管服務的形式執行。當您正在尋找開箱即用的預先封裝環境解決方案時,您可以使用 AWS Control Tower 進行規範指引和全受管環境。服務會根據多帳戶最佳實務來設定登陸區域、集中身分和存取管理,以及建立預先設定的安全和合規控管規則。
AWS Control Tower 使用最佳實務、身分藍圖、聯合存取和帳戶結構,自動設定新的登陸區域。在 上實作的一些藍圖 AWS Control Tower 包括:
-
使用 的多帳戶環境 AWS Organizations
-
使用 AWS Identity and Access Management (IAM) 和 的跨帳戶安全稽核 AWS IAM Identity Center
-
使用 Identity Center 預設目錄進行身分管理
-
從 AWS CloudTrail Amazon Simple Storage Service (Amazon S3) 中集中記錄和 AWS Config 存放
控制項是為整體 AWS 環境提供持續控管的高階規則。控制項可以是預防性或偵測性。預防性控制是使用服務控制政策 (SCPs) 實作的,這是其中的一部分 AWS Organizations。Detective 控制項是使用 實作 AWS Config。 AWS Control Tower 控制項的範例包括:
-
不允許為根使用者建立存取金鑰
-
不允許透過 RDP 進行網際網路連線
-
不允許公開寫入存取 S3 儲存貯體
-
不允許未連接到 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的 Amazon Elastic Block Store (Amazon EBS) 磁碟區
注意
AWS Control Tower 是登陸區域的起點。您需要在建置登陸區域時,根據獨特需求來決定聯網、存取管理和安全性的策略。
自訂建置的登陸區域
您可以選擇建置自己的自訂登陸區域解決方案。在此情況下,您會實作基準環境,以開始使用身分和存取管理、控管、資料安全、網路設計和記錄。如果您想要從頭開始建置所有環境元件,或是只有自訂解決方案可以支援的需求,建議您使用此方法。您必須在 部署解決方案後,擁有足夠的專業知識 AWS 來管理、升級、維護和操作解決方案。
建議方法
我們建議您從 開始 AWS Control Tower 建置登陸區域。 AWS Control Tower 可協助您建置初始的規範性登陸區域組態、使用out-of-the-box控制項和藍圖,以及使用 AWS Control Tower Account Factory 建立新帳戶。
在設定期間,您可以從 AWS Control Tower 主控台自訂登陸區域。如需詳細資訊,請參閱 AWS Control Tower 文件。設定基礎登陸區域之後,請使用下列其中一個選項來進一步增強和自訂它:
-
使用 Customizations for AWS Control Tower (CfCT),透過 CloudFormation 範本和服務控制政策 (SCPs) 提供廣泛的自訂選項。如需詳細資訊,請參閱 AWS Control Tower 文件。
-
使用登陸區域加速器 (LZA) 增強您的登陸區域,以符合合規架構。如需詳細資訊,請參閱 LZA 實作指南。