使用 AWS Organizations 確保安全 - AWS 方案指引

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS Organizations 確保安全

進行簡短的問卷,以影響 AWS 安全參考架構 (AWS SRA) 的未來。

AWS Organizations 可協助您集中管理和控管您的環境。透過使用 AWS Organizations,您可以透過程式設計方式建立新的 AWS 帳戶、配置資源、分組帳戶來組織工作負載,以及將政策套用到帳戶或帳戶群組以進行控管。AWS 組織會合併您的 AWS 帳戶,以便您以單一單位管理它們。它有一個管理帳戶以及零個或多個成員帳戶。大多數工作負載都位於成員帳戶中,但某些中央受管程序必須位於管理帳戶或指定為特定 AWS 服務的委派管理員的帳戶。您可以從中央位置提供工具和存取權,讓您的安全團隊代表 AWS 組織管理安全需求。您可以在 AWS 組織內共用關鍵資源,以減少資源重複。您可以將帳戶分組為 AWS 組織單位 (OUs),可根據工作負載的需求和目的代表不同的環境。AWS Organizations 也提供數種政策,可讓您將其他安全控制集中套用至組織中的所有成員帳戶。本節著重於服務控制政策 SCPs)、資源控制政策 RCPs) 和宣告政策。

透過 AWS Organizations,您可以使用 SCPsRCPs 在 AWS 組織、OU 或帳戶層級套用許可護欄。SCPs 是套用於組織帳戶中主體的護欄,但管理帳戶除外 (這是不在此帳戶中執行工作負載的一個原因)。當您將 SCP 連接到 OU 時,SCP 會由該 OUs 下的子 OU 和帳戶繼承。SCPs不會授予任何許可。而是指定 AWS 組織、OU 或帳戶的最大許可。您仍然需要將身分型或資源型政策連接到 AWS 帳戶中的主體或資源,以實際授予許可。例如,如果 SCP 拒絕存取所有 Amazon S3,則受 SCP 影響的委託人將無法存取 Amazon S3,即使透過 IAM 政策明確授予存取權。如需如何評估 IAM 政策、SCPs 角色以及如何最終授予或拒絕存取的詳細資訊,請參閱 IAM 文件中的政策評估邏輯

RCPs 是套用於組織帳戶中資源的護欄,無論資源是否屬於同一個組織。如同 SCPs,RCPs不會影響管理帳戶中的資源,也不會授予任何許可。當您將 RCP 連接到 OU 時,RCP 由 OUs 下的子 OU 和帳戶繼承。RCPs可讓您集中控制組織中資源的最大可用許可,並目前支援 AWS 服務子集。當您為 OUs 設計 SCPs 時,建議您使用 IAM 政策模擬器來評估變更。您也應該在 IAM 中檢閱服務上次存取的資料,並使用 AWS CloudTrail 在 API 層級記錄服務用量,以了解 SCP 變更的潛在影響。

SCPs和 RCPs是獨立的控制項。您可以選擇僅啟用 SCPs 或 RCPs,或根據您要強制執行的存取控制,同時使用這兩種政策類型。例如,如果您想要防止組織的主體存取組織外部的資源,您可以使用 SCPs強制執行此控制。如果您想要限制或防止外部身分存取您的 資源,您可以使用 RCPs強制執行此控制。如需 RCPs 和 SCPs 的詳細資訊和使用案例,請參閱 AWS Organizations 文件中的使用 SCPs 和 RCPs

您可以使用 AWS Organizations 宣告式政策,集中宣告和強制執行整個組織的指定 AWS 服務所需的組態。例如,您可以封鎖對整個組織的 Amazon VPC 資源的公有網際網路存取。與 SCPs 和 RCPs 等授權政策不同,宣告政策會在 AWS 服務的控制平面中強制執行。授權政策會規範對 APIs存取,而宣告性政策會直接在服務層級套用,以強制執行持久性意圖。這些政策有助於確保始終維護 AWS 服務的基準組態,即使服務引入新功能或 APIs。將新帳戶新增至組織或建立新主體和資源時,也會維護基準組態。宣告政策可套用至整個組織或特定 OUs 或帳戶。

根據預設,每個 AWS 帳戶都有單一根使用者,擁有所有 AWS 資源的完整許可。  作為安全最佳實務,建議您不要使用根使用者,除了明確需要根使用者的一些任務之外。如果您透過 AWS Organizations 管理多個 AWS 帳戶,您可以集中停用根登入,然後代表所有成員帳戶執行根特權動作。在集中管理成員帳戶的根存取權之後,您可以刪除根使用者密碼、存取金鑰和簽署憑證,並停用成員帳戶的多重驗證 (MFA)。根據預設,在集中受管根存取下建立的新帳戶沒有根使用者憑證。成員帳戶無法使用其根使用者登入,或對其根使用者執行密碼復原。

AWS Control Tower 提供簡單的方法來設定和管理多個帳戶。它可自動化您 AWS 組織中帳戶的設定、自動化佈建、套用護欄 (包括預防性和偵測性控制),以及為您提供儀表板以獲得可見性。額外的 IAM 管理政策,即許可界限,會連接至特定 IAM 實體 (使用者或角色),並設定身分型政策可授予 IAM 實體的最大許可。

AWS Organizations 可協助您設定套用至您所有帳戶的 AWS 服務。例如,您可以使用 AWS CloudTrail 設定整個 AWS 組織執行的所有動作的中央記錄,並防止成員帳戶停用記錄。您也可以使用 AWS Config 集中彙總已定義規則的資料,以便稽核工作負載是否合規,並快速回應變更。您可以使用 AWS CloudFormation StackSets 在 AWS 組織中跨帳戶和 OU 集中管理 AWS CloudFormation 堆疊,以便自動佈建新帳戶以符合您的安全需求。 OUs

AWS Organizations 的預設組態支援使用 SCPs做為拒絕清單。透過使用拒絕清單策略,成員帳戶管理員可以委派所有服務和動作,直到您建立和連接拒絕特定服務或一組動作的 SCP 為止。拒絕陳述式需要的維護少於允許清單,因為您在 AWS 新增新服務時不需要更新它們。拒絕陳述式的字元長度通常較短,因此更容易保持在 SCPs的大小上限內。在 Effect 元素的值為 Deny 的陳述式中,您也可以將存取限制在特定資源,或是定義決定 SCP 何時生效的條件。相反地,SCP 中的允許陳述式適用於所有資源 ("*"),且不受條件限制。如需詳細資訊和範例,請參閱 AWS Organizations 文件中的使用 SCPs 的策略

設計考量

  • 或者,若要使用 SCPs做為允許清單,您必須將 AWS 受管 FullAWSAccess SCP 取代為 SCP,以明確允許您想要允許的服務和動作。若要為指定帳戶啟用許可,每個 SCP (從根到帳戶直接路徑中的每個 OU,甚至連接到帳戶本身) 必須允許該許可。此模型本質上更嚴格,可能適用於高度管制和敏感的工作負載。此方法要求您明確允許 AWS 帳戶到 OU 路徑中的每個 IAM 服務或動作。

  • 理想情況下,您會使用拒絕清單和允許清單策略的組合。使用允許清單來定義核准在 AWS 組織內使用的允許 AWS 服務清單,並將此 SCP 連接到 AWS 組織的根目錄。如果您的開發環境允許不同的服務集,您可以在每個 OU 連接各自的 SCPs。然後,您可以使用拒絕清單明確拒絕特定 IAM 動作來定義企業護欄。

  • RCPs適用於 AWS 服務子集的資源。如需詳細資訊,請參閱 AWS Organizations 文件中的支援 RCPs 的 AWS 服務清單。 AWS Organizations AWS Organizations 的預設組態支援使用 RCPs做為拒絕清單。當您在組織中啟用 RCPs 時,稱為 的 AWS 受管政策RCPFullAWSAccess會自動連接到組織根目錄、每個 OU,以及您組織中的每個帳戶。您無法分離此政策。此預設 RCP 允許所有主體和動作存取通過 RCP 評估。這表示在您開始建立和連接 RCPs之前,所有現有的 IAM 許可都會繼續如預期般運作。此 AWS 受管政策不會授予存取權。然後,您可以撰寫新的 RCPs做為拒絕陳述式清單,以封鎖對組織中資源的存取。