本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
概觀
我們與一家多國製藥公司合作,在 上執行proof-of-concept(PoC) 活動 AWS ,以探索他們如何將其應用程式從現場部署遷移到 AWS 雲端。當他們開始擴展和加速遷移工作流程以包含生產工作負載時,很明顯地,他們需要受管制且合規的 AWS 登陸區域來支援他們的目標。我們曾經AWS Control Tower設計和實作新的 AWS 登陸區域。
新 AWS 登陸區域及其組織的重要層面是其組織單位 (OUs的結構。OU 是使用 AWS 帳戶 建立的邏輯群組AWS Organizations。您可以使用 OUs AWS 帳戶 組織階層,並一致且更輕鬆地套用管理和控管控制。
您可以將政策型控制項連接到 OU 和 AWS 帳戶。OUs 中的子 OU 會自動繼承這些控制項。因此,OUs 中管理安全與控管方面扮演重要角色 AWS Organizations。
政策是 JSON 文件,其中包含一或多個陳述式,定義您要套用至 群組的控制項 AWS 帳戶。 AWS Organizations 目前支援四種類型的政策,也稱為服務控制政策 SCPs)。SCP 定義可用於不同 的 AWS 服務 和 動作 AWS 帳戶。例如,您可以使用 SCP 要求 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體啟動以使用特定執行個體類型。
政策類型
SCP 政策類型包括下列項目:
-
允許清單和拒絕清單是補充策略,可用來套用 SCPs 來篩選帳戶可用的許可。
-
標籤政策可協助您維持一致的標籤,包括跨帳戶的標籤索引鍵和標籤值的偏好大小寫處理。
-
備份政策會為支援的資源類型設定備份,例如備份的時間範圍和備份的目的地保存庫 AWS 區域。
-
AI 服務選擇退出政策可啟用或停用全球 AWS 人工智慧 (AI) 服務的持續改善。
政策繼承行為:當您將政策連接至特定 OU 時,直接在該 OU 或任何子 OU 下的帳戶會繼承政策。當您將政策連接到特定帳戶時,政策只會影響該帳戶。您可以透過引入例外狀況政策來覆寫繼承的政策。繼承明確允許所有許可從根 (OU) 向下流到該 OU 和子 OU AWS 帳戶 中的每個 ,除非您明確拒絕許可。若要拒絕許可,您可以建立額外的政策,並將其連接到適當的 OU 或 AWS 帳戶。如需政策繼承和例外狀況的詳細資訊,請參閱 AWS Organizations 文件。
AWS Control Tower 也會使用 OU 結構提供自己的一組偵測和預防性控制 (也稱為護欄)。 AWS Control Tower 預防性控制會使用 中的 SCPs 防止動作 AWS Organizations。使用 對控制項進行組態偏離的 Detective 控制報告 AWS Config。如需這些控制項的詳細資訊,請參閱 AWS Control Tower 文件。
您也可以讓 AWS Security Hub CSPM 自動執行安全最佳實務檢查、將安全提醒彙總為單一位置和格式,以及了解所有 的整體安全狀態 AWS 帳戶。
