本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

建置您的安全架構 – 分階段方法

AWS SRA 建議的多帳戶安全架構是基準架構，可協助您儘早將安全注入設計程序中。每個組織的雲端旅程都是獨一無二的。若要成功發展您的雲端安全架構，您需要規劃所需的目標狀態、了解目前的雲端準備程度，並採用敏捷的方法來消除任何差距。 AWS SRA 為您的安全架構提供參考目標狀態。逐步轉換可讓您快速示範值，同時將進行遙遠預測的需求降到最低。

AWS 雲端採用架構 (AWS CAF) 建議四個疊代和增量雲端轉換階段：佈建、對齊、啟動和擴展。當您進入啟動階段並專注於在生產環境中交付試行計劃時，您應該專注於建置強大的安全架構作為擴展階段的基礎，以便您能夠放心地遷移和操作最業務關鍵的工作負載。如果您是新創公司、想要擴展業務的小型或中型公司，或是正在取得新業務單位或正在進行合併和收購的企業，則適用此分階段方法。 AWS SRA 可協助您實現該安全基準架構，以便您可以在 中擴展的組織之間統一套用安全控制 AWS Organizations。基準架構包含多個 AWS 帳戶 和 服務。規劃和實作應該是一個多階段程序，讓您可以反覆執行較小的里程碑，以達到設定基準安全架構的更大目標。本節說明以結構化方法為基礎的雲端旅程典型階段。這些階段符合 AWS Well-Architected Framework 安全設計原則。  

階段 1：建置您的 OU 和帳戶結構

強大安全基礎的先決條件是設計良好的 AWS 組織和帳戶結構。如本指南先前 SRA 建置區塊一節所述，擁有多個 AWS 帳戶 可協助您透過設計隔離不同的業務和安全功能。這看起來像是一開始不必要的工作，但這是一項投資，可協助您快速安全地擴展。本節也說明如何使用 AWS Organizations 來管理多個 AWS 帳戶，以及如何使用信任存取和委派管理員功能來集中 AWS 服務 管理這些多個帳戶。

您可以使用本指南先前AWS Control Tower所述的 來協調您的登陸區域。如果您目前正在使用單一 AWS 帳戶，請參閱轉換為多個 AWS 帳戶指南，以盡早遷移到多個帳戶。例如，如果您的啟動公司目前在單一 中構想和原型設計產品 AWS 帳戶，您應該考慮在市場上啟動產品之前採用多帳戶策略。同樣地，小型、中型和企業組織應在規劃初始生產工作負載後立即開始建置其多帳戶策略。從基礎 OUs和 開始 AWS 帳戶，然後新增與工作負載相關的 OUs和帳戶。

如需 SRA 所提供的 AWS AWS 帳戶 和 OU 結構建議，請參閱中小型企業的多帳戶策略部落格文章。當您完成 OU 和帳戶結構時，請考慮要使用服務控制政策 (SCPs)、資源控制政策 (RCPs) 和宣告政策強制執行的高階全組織安全控制。

階段 2：實作強大的身分基礎

建立多個 後 AWS 帳戶，您應該讓團隊存取這些帳戶中 AWS 的資源。身分管理有兩種一般類別：人力資源身分和存取管理，以及客戶身分和存取管理 (CIAM)。Workforce IAM 適用於員工和自動化工作負載需要登入 AWS 才能執行其任務的組織。當組織需要一種方法來驗證使用者，以提供組織應用程式的存取權時，會使用 CIAM。首先您需要人力 IAM 策略，讓您的團隊可以建置和遷移應用程式。您應該一律使用 IAM 角色，而不是 IAM 使用者來提供人類或機器使用者的存取權。遵循 AWS SRA 指引，了解如何 AWS IAM Identity Center 在組織管理和共用服務帳戶中使用 ，以集中管理對 的單一登入 (SSO) 存取 AWS 帳戶。當您無法使用 IAM Identity Center 時，本指南也提供使用 IAM 聯合的設計考量。

當您使用 IAM 角色來提供使用者對 AWS 資源的存取權時，您應該使用 IAM Access Analyzer 和 IAM 存取顧問，如本指南的安全工具與組織管理章節所述。這些服務可協助您實現最低權限，這是重要的預防性控制，可協助您建立良好的安全狀態。 

階段 3：維持可追蹤性

當您的使用者可以存取 AWS 並開始建置時，您會想要知道誰正在執行什麼操作、何時執行和從何處執行。您也需要了解潛在的安全錯誤組態、威脅或意外行為。進一步了解安全威脅可讓您優先考慮適當的安全控制。若要監控 AWS 活動，請遵循 AWS SRA 建議，在 Log Archive 帳戶中使用AWS CloudTrail並集中日誌來設定組織線索。對於安全事件監控，請使用 AWS Config、Amazon GuardDuty AWS Security Hub CSPM和 Amazon Security Lake，如安全工具帳戶一節中所述。 

階段 4：在所有層套用安全性

此時，您應該有：

在此階段中，計劃在 AWS 組織的其他層套用安全性，如 一節中所述，在整個 AWS 組織中套用安全性服務。您可以使用網路帳戶區段中概述的服務，例如 AWS WAF AWS Shield、 AWS Firewall Manager、 AWS Network Firewall AWS Certificate Manager (ACM)、Amazon CloudFront、Amazon Route 53 和 Amazon VPC，來建置網路層的安全控制。當您向下移動技術堆疊時，請套用工作負載或應用程式堆疊專屬的安全控制。使用應用程式帳戶區段中概述的 VPC 端點 AWS Systems Manager、Amazon Inspector AWS Secrets Manager和 Amazon Cognito。 

階段 5：保護傳輸中和靜態的資料

您的業務和客戶資料是您需要保護的寶貴資產。 AWS 提供各種安全服務和功能，以保護動態和靜態資料。如網路帳戶一節所述 AWS Certificate Manager，使用 Amazon CloudFront 搭配 來保護透過網際網路收集的動態資料。對於內部網路內動態中的資料，請使用 Application Load Balancer AWS 私有憑證授權單位，如應用程式帳戶一節所述。 AWS KMS 和 AWS CloudHSM 可協助您提供密碼編譯金鑰管理來保護靜態資料。 

階段 6：準備安全事件

當您操作 IT 環境時，將會遇到安全事件，這是 IT 環境日常操作的變更，表示可能違反安全政策或無法安全控制。適當的可追蹤性至關重要，以便您盡快知道安全事件。同樣重要的是，請準備好分類和回應此類安全事件，以便在安全事件升級之前採取適當動作。準備可協助您快速分類安全事件，以了解其潛在影響。

AWS SRA 透過設計安全工具帳戶和在所有範圍內部署常見的安全服務 AWS 帳戶，可讓您偵測整個 AWS 組織的安全事件。安全工具帳戶中的 Amazon Detective 可協助您分類安全事件並識別根本原因。在安全調查期間，您必須能夠檢閱相關日誌，以記錄並了解事件的完整範圍和時間表。在發生特定感興趣的動作時，產生提醒也需要日誌。 AWS SRA 建議使用 centralLog Archive 帳戶來儲存所有安全和操作日誌。您可以使用存放在 CloudWatch 日誌群組中的 CloudWatch Logs Insightsfor 資料，以及針對存放在 Amazon S3 中的資料使用 Amazon Athena 和 Amazon OpenSearch Service 來查詢日誌。 CloudWatch Amazon S3 使用 Amazon Security Lake 自動集中來自 AWS 環境、軟體即服務 (SaaS) 供應商、內部部署和其他雲端供應商的安全資料。如 AWS SRA 所述，在安全工具帳戶或任何專用帳戶中設定訂閱者，以查詢這些日誌以進行調查。 

AWS 安全事件應變 可協助您自動化安全事件回應、調查和修復。它提供預先建置的手冊和工作流程，協助您快速一致地回應安全事件。啟用主動回應功能時，安全事件回應會與 Security Hub CSPM 和 GuardDuty 整合，以便在偵測到安全調查結果時自動觸發回應工作流程。此服務可協助您將整個 AWS 組織的事件回應程序標準化並自動化。如果您需要其他協助，您可以開啟服務支援案例，以與客戶事件回應團隊 AWS (CIRT) 互動。