組織管理帳戶 - AWS 方案指引
服務控制政策資源控制政策宣告式政策集中式根存取IAM Identity CenterIAM 存取顧問AWS Systems ManagerAWS Control TowerAWS Artifact分散式和集中式安全服務護欄

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

組織管理帳戶

進行簡短的問卷,以影響 AWS 安全參考架構 (AWS SRA) 的未來。

下圖說明組織管理帳戶中設定 AWS 的安全服務。

Org Management 帳戶的安全服務。

本指南稍早的「使用 AWS Organizations 安全」和「管理帳戶」、「信任存取」和「委派管理員」章節討論了組織管理帳戶的目的和安全性目標。遵循組織管理帳戶的安全最佳實務。這包括使用由您企業管理的電子郵件地址、維護正確的管理和安全聯絡資訊 (例如,在需要 AWS 聯絡帳戶擁有者的情況下將電話號碼連接至帳戶)、為所有使用者啟用多重要素驗證 (MFA),以及定期檢閱誰有權存取組織管理帳戶。組織管理帳戶中部署的服務應設定適當的角色、信任政策和其他許可,以便這些服務的管理員 (必須在組織管理帳戶中存取這些服務) 也無法不當存取其他 服務。

服務控制政策

透過 AWS Organizations,您可以集中管理多個政策 AWS 帳戶。例如,您可以將服務控制政策 (SCPs) 套用至 AWS 帳戶 屬於組織成員的多個 。SCPs 可讓您定義組織中的 IAM 主體 (例如 IAM 使用者和角色) 可以和不可以執行哪些 AWS 服務 APIs AWS 帳戶。SCPs 是從組織管理帳戶建立和套用,這是您在建立組織時 AWS 帳戶 所使用的 。閱讀本參考前面的使用 AWS Organizations 安全章節中有關 SCPs的詳細資訊。 

如果您使用 AWS Control Tower 來管理您的 AWS 組織,它會部署一組 SCPs做為預防性護欄 (分類為強制性、強烈建議或選擇性)。這些護欄透過強制執行整個組織的安全控制,協助您管理資源。這些 SCPs 會自動使用值為 managed-by-control-tower 的 aws-control-tower 標籤。 managed-by-control-tower

設計考量事項

SCPs只會影響組織中的成員帳戶 AWS 。雖然它們是從組織管理帳戶套用,但不會影響該帳戶中的使用者或角色。若要了解 SCP 評估邏輯的運作方式,以及查看建議結構的範例,請參閱 AWS 部落格文章如何使用 中的服務控制政策 AWS Organizations

資源控制政策

資源控制政策 RCPs) 可讓您集中控制組織中資源的可用許可上限。RCP 會定義許可護欄,或設定身分可對組織中資源採取的動作限制。您可以使用 RCPs來限制誰可以存取您的資源,並強制要求如何在組織的成員 中存取您的資源 AWS 帳戶。您可以直接將 RCPs 連接到個別帳戶、OUs 或組織根目錄。如需 RCPs運作方式的詳細說明,請參閱 AWS Organizations 文件中的 RCP 評估。閱讀本參考前面的使用 AWS Organizations 安全一節中有關 RCPs的詳細資訊。

如果您使用 AWS Control Tower 來管理您的 AWS 組織,它會部署一組 RCPs作為預防性護欄 (分類為強制性、強烈建議或選擇性)。這些護欄透過強制執行整個組織的安全控制,協助您管理資源。這些 SCPs會自動使用值為 的aws-control-tower標籤managed-by-control-tower

設計考量

  • RCPs只會影響組織中的資源 inmemberaccounts。它們不會影響管理帳戶中的資源。這也表示 RCPs適用於指定為委派管理員的成員帳戶。

  • RCPs適用於 子集的資源 AWS 服務。如需詳細資訊,請參閱 文件中的 AWS Organizations AWS 服務 支援 RCPs 清單。您可以使用 AWS Config 規則和 函數來監控和自動化對 RCPs 目前不支援的資源實施安全控制。AWS Lambda

宣告式政策

宣告政策是一種 AWS Organizations 管理政策,可協助您集中宣告和強制執行整個組織 AWS 服務 大規模指定 所需的組態。宣告政策目前支援Amazon EC2Amazon VPCAmazon EBS 服務。可用的服務屬性包括強制執行執行個體中繼資料服務第 2 版 (IMDSv2)、允許透過 EC2 序列主控台進行故障診斷、允許Amazon Machine Image (AMI) 設定,以及封鎖 Amazon EBS 快照、Amazon EC2 AMIs 和 Amazon VPC 資源的公開存取。如需最新支援的服務和屬性,請參閱 AWS Organizations 文件中的宣告政策

您可以在 AWS Organizations 和 AWS Control Tower 主控台上進行一些選擇 AWS 服務 ,或使用幾個 AWS Command Line Interface (AWS CLI) 和 AWS SDK 命令,以強制執行 的基準組態。宣告政策會在服務的控制平面中強制執行,這表示 的基準組態一律 AWS 服務 會維持,即使服務引入新功能或 APIs、將新帳戶新增至組織,或建立新主體和資源時也是如此。宣告政策可套用至整個組織或特定 OUs 或帳戶。有效政策是從組織根目錄和 OUs 繼承的一組規則,以及直接連接到 帳戶的政策。如果已移除宣告政策,則屬性狀態會在連接宣告政策之前回復至其狀態。

您可以使用宣告式政策來建立自訂錯誤訊息。例如,如果 API 操作因為宣告性政策而失敗,您可以設定錯誤訊息或提供自訂 URL,例如內部 wiki 的連結或描述失敗的訊息連結。這有助於為使用者提供更多資訊,以便他們可以自行對問題進行故障診斷。您也可以使用 稽核建立宣告政策、更新宣告政策,以及刪除宣告政策的程序 AWS CloudTrail。

宣告政策提供帳戶狀態報告,可讓您檢閱範圍內帳戶宣告政策支援的所有屬性的目前狀態。您可以選擇要包含在報告範圍中的帳戶和 OUs,或選取根來選擇整個組織。此報告透過提供明細 AWS 區域 ,並指定屬性的目前狀態是否跨帳戶 (透過 numberOfMatchedAccounts值) 一致或跨帳戶 (透過 numberOfUnmatchedAccounts值) 不一致,來協助您評估整備程度

設計考量事項

當您使用宣告性政策設定服務屬性時,政策可能會影響多個 APIs。任何不合規動作都將失敗。帳戶管理員將無法修改個別帳戶層級的服務屬性值。

集中式根存取

中的所有成員帳戶 AWS Organizations 都有自己的根使用者,這是可存取該成員帳戶中所有 AWS 服務 和資源的身分。IAM 提供集中式根存取管理,以管理所有成員帳戶的根存取。這有助於防止成員根使用者使用,並有助於大規模復原。集中式根存取功能有兩個基本功能:根憑證管理和根工作階段。 

  • 根憑證管理功能允許集中管理,並協助保護所有管理帳戶的根使用者。此功能包括移除長期根憑證、防止成員帳戶復原根憑證,以及佈建預設沒有根憑證的新成員帳戶。它也提供示範合規的簡單方法。當根使用者管理集中時,您可以移除根使用者密碼、存取金鑰和簽署憑證,並從所有成員帳戶停用多重驗證 (MFA)。

  • 根工作階段功能可讓您在來自組織管理帳戶或委派管理員帳戶的成員帳戶上使用短期憑證,以執行特權根使用者動作。此功能可協助您啟用範圍限定於特定動作的短期根存取權,並遵循最低權限原則。

對於集中式根憑證管理,您需要從組織管理帳戶或在委派管理員帳戶中,在組織層級啟用根憑證管理和根工作階段功能。遵循 AWS SRA 最佳實務,我們會將此功能委派給安全工具帳戶。如需有關設定和使用集中式根使用者存取的資訊,請參閱 AWS 安全部落格文章,集中管理使用 的客戶根存取 AWS Organizations

IAM Identity Center

AWS IAM Identity Center 是一種聯合身分服務,可協助您集中管理對所有 AWS 帳戶、主體和雲端工作負載的 SSO 存取。IAM Identity Center 也可協助您管理常用第三方軟體即服務 (SaaS) 應用程式的存取和許可。身分提供者使用 SAML 2.0 與 IAM Identity Center 整合。您可以使用跨網域身分管理 (SCIM) 系統來完成大量和just-in-time佈建。IAM Identity Center 也可以透過使用 ,將內部部署或 AWS受管 Microsoft Active Directory (AD) 網域整合為身分提供者 AWS Directory Service。IAM Identity Center 包含使用者入口網站,您的最終使用者可以在同一個位置尋找和存取其指派的 AWS 帳戶 IAM Identity Center、角色、雲端應用程式和自訂應用程式。

IAM Identity Center 預設會原生與 整合, AWS Organizations 並在組織管理帳戶中執行。不過,若要行使最低權限並嚴格控制對管理帳戶的存取,可以將 IAM Identity Center 管理委派給特定的成員帳戶。在 AWS SRA 中,共享服務帳戶是 IAM Identity Center 的委派管理員帳戶。在啟用 IAM Identity Center 的委派管理之前,請檢閱這些考量事項。您可以在共用服務帳戶區段中找到有關委派的詳細資訊。即使您啟用委派,IAM Identity Center 仍需要在 Org Management 帳戶中執行,才能執行特定 IAM Identity Center 相關任務,包括管理在 Org Management 帳戶中佈建的許可集。 

在 IAM Identity Center 主控台中,帳戶會以其封裝的 OU 顯示。這可讓您快速探索您的 AWS 帳戶、套用常見的許可集,以及從中央位置管理存取權。 

IAM Identity Center 包含身分存放區,其中必須存放特定使用者資訊。不過,IAM Identity Center 不一定是人力資源資訊的授權來源。如果您的企業已有授權來源,IAM Identity Center 支援以下類型的身分提供者 (IdPs)。

  • IAM Identity Center 身分存放區 – 如果下列兩個選項無法使用,請選擇此選項。建立使用者、進行群組指派,並在身分存放區中指派許可。即使您的授權來源位於 IAM Identity Center 外部,委託人屬性的副本仍會存放在身分存放區中。

  • Microsoft Active Directory (AD) – 如果您想要在 中繼續管理目錄中的使用者 AWS Directory Service for Microsoft Active Directory ,或在 Active Directory 中繼續管理自我管理目錄中的使用者,請選擇此選項。

  • 外部身分提供者 – 如果您想要管理外部第三方 SAML 型 IdP 中的使用者,請選擇此選項。

您可以依賴企業內現有的 IdP。這可讓您更輕鬆地跨多個應用程式和服務管理存取權,因為您是從單一位置建立、管理和撤銷存取權。例如,如果有人離開您的團隊,您可以從一個位置撤銷他們對所有應用程式和服務 (包括 AWS 帳戶) 的存取權。這可減少對多個登入資料的需求,並讓您有機會與人力資源 (HR) 程序整合。

設計考量事項

如果您的企業可以使用該選項,請使用外部 IdP。如果您的 IdP 支援跨網域身分管理 (SCIM) 系統,請利用 IAM Identity Center 中的 SCIM 功能來自動化使用者、群組和許可佈建 (同步)。這可讓新員工、即將調到另一個團隊的員工,以及即將離開公司的員工 AWS ,存取與您的公司工作流程保持同步。在任何指定時間,您只能有一個目錄或一個 SAML 2.0 身分提供者連接到 IAM Identity Center。不過,您可以切換到另一個身分提供者。

IAM 存取顧問

IAM 存取建議程式以您 AWS 帳戶 和 OUs 的服務上次存取資訊形式提供可追蹤性資料。使用此偵測性控制項有助於實現最低權限策略。對於 IAM 主體,您可以檢視兩種類型的上次存取資訊:允許 AWS 服務 的資訊和允許的動作資訊。這些資訊包括嘗試的日期和時間。

組織管理帳戶中的 IAM 存取可讓您檢視組織中 AWS 組織管理帳戶、OU、成員帳戶或 IAM 政策的服務上次存取資料。此資訊可在 管理帳戶中的 IAM 主控台中取得,也可以使用 中的 IAM 存取建議程式 APIs AWS CLI 或程式設計用戶端以程式設計方式取得。這些資訊會指出組織或帳戶中哪些主參與者上次嘗試存取服務,以及何時存取服務。上次存取的資訊可提供實際服務用量的洞見 (請參閱範例案例),因此您只能將 IAM 許可減少為實際使用的服務。

AWS Systems Manager

Quick Setup 和 Explorer 是 的功能AWS Systems Manager,可支援 AWS Organizations 並從 Org Management 帳戶操作。

快速設定是 Systems Manager 的自動化功能。它可讓組織管理帳戶輕鬆定義組態,讓 Systems Manager 代表您在 AWS 組織中跨帳戶互動。您可以在整個 AWS 組織中啟用快速設定,或選擇特定的 OUs。快速設定可以排程 AWS Systems Manager 代理程式 (SSM 代理程式) 在 EC2 執行個體上執行每兩週更新一次,並可以設定這些執行個體的每日掃描,以識別遺失的修補程式。 

Explorer 是可自訂的操作儀表板,可報告 AWS 資源的相關資訊。Explorer 會顯示您 AWS 帳戶和跨帳戶的操作資料的彙總檢視 AWS 區域。這包括有關 EC2 執行個體和修補程式合規詳細資訊的資料。在 中完成整合設定 (也包含 Systems Manager OpsCenter) 之後 AWS Organizations,您可以依 OU 或整個 AWS 組織彙總 Explorer 中的資料。Systems Manager 在 Explorer 中顯示資料之前,會將資料彙總到 AWS 組織管理帳戶。

本指南稍後的工作負載 OU 區段討論在應用程式帳戶中的 EC2 執行個體上使用 SSM Agent。

AWS Control Tower

AWS Control Tower 提供設定和管理安全多帳戶 AWS 環境的直接方式,稱為登陸區域。 會使用 AWS Control Tower 建立您的登陸區域 AWS Organizations,並提供持續的帳戶管理和控管,以及實作最佳實務。您可以使用 以幾個步驟 AWS Control Tower 佈建新帳戶,同時確保帳戶符合您的組織政策。您甚至可以將現有的帳戶新增至新的 AWS Control Tower 環境。 

AWS Control Tower 有一組廣泛且靈活的功能。關鍵功能是能夠協調其他數個 的功能 AWS Organizations AWS Service Catalog,AWS 服務包括 和 IAM Identity Center,以建置登陸區域。例如,根據預設, AWS Control Tower 會使用 AWS CloudFormation 來建立基準、 AWS Organizations 服務控制政策 (SCPs) 來防止組態變更,以及 AWS Config 規則 規則來持續偵測不一致性。 AWS Control Tower employs 藍圖,協助您快速將多帳戶 AWS 環境與 AWS Well Architected 安全基礎設計原則保持一致。在控管功能中, AWS Control Tower 提供防護機制,可防止部署不符合所選政策的資源。

您可以開始使用 實作 AWS SRA 指引 AWS Control Tower。例如, 會使用建議的多帳戶架構 AWS Control Tower 建立 AWS 組織。它提供藍圖來提供身分管理、提供帳戶的聯合存取、集中記錄、建立跨帳戶安全稽核、定義佈建新帳戶的工作流程,以及使用網路組態實作帳戶基準。

在 AWS SRA 中, AWS Control Tower 位於組織管理帳戶中,因為 AWS Control Tower 使用此帳戶自動設定 AWS 組織,並將該帳戶指定為管理帳戶。此帳戶用於整個 AWS 組織的計費。它也用於帳戶的帳戶工廠佈建、管理 OUs,以及管理護欄。如果您在 AWS Control Tower 現有的 AWS 組織中啟動 ,您可以使用現有的管理帳戶。 AWS Control Tower 會使用該帳戶做為指定的管理帳戶。

設計考量事項

如果您想要跨帳戶執行額外的控制項和組態基準,您可以使用自訂 for AWS Control Tower (CfCT)。透過 CfCT,您可以使用 CloudFormation 範本和 SCPs自訂 AWS Control Tower 登陸區域。您可以將自訂範本和政策部署到組織中的個別帳戶和 OUs。CfCT 與 AWS Control Tower 生命週期事件整合,以確保資源部署與您的登陸區域保持同步。 

AWS Artifact

AWS Artifact 提供隨需存取 AWS 安全性和合規報告,並選取線上協議。中可用的報告 AWS Artifact 包括系統和組織控制 (SOC) 報告、支付卡產業 (PCI) 報告,以及跨地理位置和合規垂直機構的認證,可驗證 AWS 安全控制的實作和操作有效性。 AWS Artifact 可協助您對安全控制環境進行增強透明度 AWS 的盡職調查。它還可讓您持續監控 的安全性和合規性 AWS ,並立即存取新的報告。

AWS Artifact 協議可讓您檢閱、接受和追蹤協議的狀態 AWS ,例如個別帳戶的商業夥伴增補合約 (BAA),以及屬於您組織一部分的帳戶 AWS Organizations。 

您可以提供 AWS 稽核成品給您的稽核人員或監管機構,做為 AWS 安全控制的證據。您也可以使用一些 AWS 稽核成品提供的責任指引來設計雲端架構。本指南有助於判斷您可以實施的額外安全控制,以支援系統的特定使用案例。

AWS Artifact 託管在 Org Management 帳戶中,以提供您可以檢閱、接受和管理協議的中央位置 AWS。這是因為管理帳戶接受的協議會向下流到成員帳戶。

設計考量事項

組織管理帳戶中的使用者應僅限於使用 的協議功能 AWS Artifact ,而不使用其他功能。為了實作職責分離, AWS Artifact 也託管在安全工具帳戶中,您可以在其中將許可委派給您的合規利益相關者和外部稽核人員,以存取稽核成品。您可以透過定義精細的 IAM 許可政策來實作此分隔。如需範例,請參閱 AWS 文件中的範例 IAM 政策

分散式和集中式安全服務護欄

在 AWS SRA AWS Security Hub AWS Security Hub CSPM、Amazon GuardDuty AWS Config、IAM Access Analyzer、 AWS CloudTrail 組織線索和 Amazon Macie 中,通常使用適當的委派護欄組跨帳戶部署,並在整個 AWS 組織中提供集中式監控、管理和管控。您可以在 AWS SRA 中呈現的每個帳戶類型中找到此服務群組。這些應該是 的一部分 AWS 服務 ,必須在帳戶加入和基礎程序中佈建。GitHub 程式碼儲存庫會在您的帳戶間提供以安全為重心的服務範例實作 AWS ,包括 AWS 組織管理帳戶。

除了這些服務之外, AWS SRA 還包含兩個以安全為重心的服務:Amazon Detective 和 AWS Audit Manager,支援 中的整合和委派管理員功能 AWS Organizations。不過,這些不包含在帳戶基準的建議服務中。我們看到這些服務最適合在下列案例中使用:

  • 您擁有執行這些數位鑑識和 IT 稽核函數的專用團隊或資源群組。Detective 最適合安全分析師團隊使用,而 Audit Manager 有助於您的內部稽核或合規團隊。

  • 您想要在專案 AWS Security Hub AWS Security Hub CSPM 開始時專注於一組核心工具 AWS Config,例如 Amazon GuardDuty,然後使用提供額外的功能的服務來建置這些工具。