本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 的強大網路設計 AWS Control Tower
<a name="introduction"></a>

*Amazon Web Services* [（貢獻者](contributors.md))

*2024 年 9 月* ([文件歷史記錄](doc-history.md))

安全性對於任何組織都扮演重要角色。應用程式安全的關鍵因素之一是聯網。網路中的漏洞可以為網路攻擊者開啟各種選項，以入侵應用程式並控制系統。本指南定義使用 在 AWS Organizations 層級 AWS Control Tower 設計網路時的一些最佳實務。網路設計的目標是為 上託管的應用程式提供更簡單的管理、改善的安全性和保護 AWS 雲端。為了協助達成此目標，網路設計包括檢查、篩選和記錄傳入和傳出網際網路的流量 AWS。

涵蓋的方法使用具有三個虛擬私有雲端 (VPCs) 的集中式網路帳戶。來自語音 VPCs 和網際網路的傳入和傳出流量會由 AWS WAF 和 篩選 AWS Network Firewall。 AWS Transit Gateway 而 VPC 端點可協助路由流量。

## 先決條件
<a name="prerequisites"></a>
+ 作用中 [AWS 帳戶](https://aws.amazon.com/resources/create-account/)
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html) 設定
+ [傳輸閘道](https://docs.aws.amazon.com/vpc/latest/userguide/extend-tgw.html)的知識
+ 具備聯網和網路安全的知識

## 集中式網路帳戶
<a name="network-account"></a>

管理組織的整個網路時，我們建議您擁有專門用於管理聯網元件或服務的獨立帳戶。首先，聯網團隊請求建立 帳戶 （網路） 來管理聯網服務。建立新帳戶後，請記下帳戶號碼。接著，在 [IPAM 中提供帳戶詳細資訊，將 Amazon Virtual Private Cloud (Amazon VPC) IP Address Manager (IPAM)](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html) 控制從 AWS Control Tower 管理帳戶變更為網路帳戶。

新建立的帳戶將是您集中的網路帳戶，其將管理下列網路服務：
+ IPAM
+ VPC 組態
+ 網路存取控制清單 (ACL)
+ 集中式網路防火牆
+ AWS Transit Gateway
+ VPC 端點組態
+ 集中式 DNS 管理
+ 集中式傳入流量
+ AWS WAF