GTLC全球技术领导力峰会·上海站,首批讲师正式上线! 了解详情
写点什么

AWS Control Tower ,设置和管理多账户 AWS 环境

2019 年 9 月 26 日

AWS Control Tower ,设置和管理多账户 AWS 环境

本月早些时候,我遇到了一位企业级 AWS 客户。他们告诉我,他们计划全面迁移到 AWS,并希望从我们大规模设置和运行 AWS 的成功经验中受益。除了建立卓越云中心之外,他们还希望为团队建立一个安全的环境,以便根据我们的建议和最佳实践预置开发和生产账户。


AWS Control Tower


今天,我们宣布正式发布 AWS Control Tower。此服务可自动完成设置新基准多账户 AWS 环境的过程,该环境具有安全、架构完善且可随时可用的特点。Control Tower 融合了 AWS 专业服务在与成千上万的成功客户接洽过程中获得的知识,同时还借鉴了我们的白皮书文档架构完善的框架培训中的建议。Control Tower 提供的指南观点鲜明、严谨规范,旨在加速您的云之旅!


AWS Control Tower 基于多种 AWS 服务构建而成,这些服务包括 AWS Organizations、AWS Identity and Access Management (IAM)(包括服务控制策略)、AWS Config、AWS CloudTrail 和 AWS Service Catalog。您可以通过一系列工作流程、控制面板和设置步骤获得统一的体验。 AWS Control Tower 自动化登录区以设置基准环境,其中包括:


使用 AWS Organizations 的多账户环境。


使用 AWS Single Sign-On (SSO) 的身份管理。


使用 AWS SSO 对账户进行联合访问。


从存储在 Amazon S3 中的 AWS CloudTrail 和 AWS Config 集中进行日志记录。


使用 AWS IAM 和 AWS SSO 进行跨账户安全审计。


在深入研究之前,让我们回顾几个关键的 Control Tower 术语:


登录区 – Control Tower 为您设置的整体多账户环境,从全新的 AWS 账户开始。


防护机制 – 自动实施策略控制,重点关注安全性、合规性和成本管理。防护机制可以是预防性的(阻止被视为有风险的操作)或探测性的(针对不符合要求的操作发出警报)。


蓝图 – 用于设置登录区的架构完善的设计模式。


环境 – AWS 账户及其中的资源,配置为运行应用程序。用户针对新环境发出请求(通过 Service Catalog),然后 Control Tower 使用自动化工作流来配置它们。


使用 Control Tower


从同时为主付款人和组织主账户的全新 AWS 账户开始,我打开 Control Tower 控制台并单击设置登录区来开始:



AWS Control Tower 将为日志存档和审计创建 AWS 账户,并且需要尚未与 AWS 账户关联的电子邮件地址。我输入两个地址,查看服务权限内的信息,授予 Control Tower 管理 AWS 资源和服务的权限,然后单击设置登录区:



设置过程运行大约一个小时,并提供状态更新:



在此过程的早期,Control Tower 会发送一些电子邮件请求来验证账户的所有权,邀请账户加入 AWS SSO,以及订阅某些 SNS 主题。请求包含我必须单击的链接,以便继续进行设置。第二封电子邮件还要求我为该账户创建 AWS SSO 密码。设置完成后,AWS Control Tower 将显示状态报告:



控制台提供了一些建议的操作:



此时,已经应用了强制性防护机制,并且可以启用可选防护机制:



我可以看到组织单位 (OU) 和账户,以及每个账户的合规状态(有关防护机制):



使用 Account Factory


左侧的导航允许我访问由 Control Tower 创建和管理的所有 AWS 资源。现在我已经设置了基准环境,我可以单击 Account Factory 为我的团队、应用程序等预置 AWS 账户。



Account Factory 显示我的网络配置(稍后我将向您展示如何编辑它),并为我提供编辑 Account Factory 网络配置或预置新账户的选项:



我可以控制用于新账户的 VPC 配置,包括在预置账户时创建 VPC 的区域:



Account Factory 自动发布到 AWS Service Catalog。我可以根据需要预置管理的账户,组织中的开发人员也可以。我单击 AWS Control Tower Account Factory 以继续:



我查看详细信息,然后单击 LAUNCH PRODUCT 来预置新账户:



使用防护机制


正如我之前提到的,Control Tower 的防护机制提供了强制或强烈推荐的指南:



防护机制通过 IAM 服务控制策略 (SCP) 或 AWS Config 规则实施,并且可以逐个组织单元启用:



现已推出


AWS Control Tower 现已推出,您可以立即在美国东部(弗吉尼亚北部)、美国东部(俄亥俄)、美国西部(俄勒冈)以及欧洲(爱尔兰)区域开始使用它,后续会在更多区域推出。Control Tower 服务是免费的;您只需为它代表您创建的 AWS 资源付费。


除了添加对更多 AWS 区域的支持之外,我们还努力支持您在现有 AWS 账户旁边设置并行登录区,并使您能够构建和使用自定义防护机制。


本文转载自 AWS 技术博客。


原文链接:


https://amazonaws-china.com/cn/blogs/china/aws-control-tower-set-up-govern-a-multi-account-aws-environment/


2019 年 9 月 26 日 17:25301
用户头像

发布了 1238 篇内容, 共 31.9 次阅读, 收获喜欢 34 次。

关注

欲了解 AWS 的更多信息,请访问【AWS 技术专区】

评论

发布
暂无评论
发现更多内容

JAVA后端学习路线

敖丙

Java 学习 程序员 Java25周年

如何更好的交谈(以英语为例)

七镜花园-董一凡

学习 生活

计算机超全核心技术知识

cxuan

后端 计算机基础

Flink Weekly | 每周社区动态更新-20200520

Apache Flink

大数据 flink 流计算 实时计算 大数据处理

一周信创舆情观察(5.25~5.31)

统小信uos

基础软件 操作系统 新基建

Flink 1.10 SQL、HiveCatalog 与事件时间整合示例

Apache Flink

大数据 flink 流计算 实时计算 大数据处理

吉德热泵烘干机解放阳台,引领生活品质新风尚

infoq小陈

产品的本质,知道却看不到

Neco.W

产品 产品经理 需求 产品开发

CSS Tricks网站创始人作序推荐,这本书助你成为Web开发高手

图灵社区

CSS Web 开发 设计思维

Kafka的生产者优秀架构设计

奈学教育

kafka 分布式

Docker 容器优雅终止方案

米开朗基杨

Docker

手撕编译原理:汇编语言不会编

贾献华

MyBatis之启动分析(一)

ytao

mybatis Java 面试

Mobaxterm (安装 、汉化、使用)入门教程

Geek_Offset

Java 走过的创新25年

田晓旭

Java25周年

浅谈敏捷开发中的设计

czjczk

敏捷开发

一文让你快速上手 Mockito 单元测试框架

mghio

Java spring 单元测试 Mockito

普通二本,毕业三年,北漂之后,我是怎么成为程序猿的。

why技术

个人成长 程序人生 随笔杂谈 北漂

如何挑选一份工作

池建强

求职 找工作

读懂才会用 : 带你见识 Redis 的 zset

小眼睛聊技术

redis 学习 程序员 架构 redis6.0.0

分享一份阿里架构师 651 多个技术分支的脑图

奈学教育

大数据

【大厂面试02期】Redis过期key是怎么样清理的?

NotFound9

Java 数据库 redis 架构 后端

Shell 文本处理一则

wong

Shell sed grep

这场大数据+AI Meetup,一次性安排了大数据当下热门话题

Apache Flink

大数据 flink 流计算 实时计算 大数据处理

奈学教育:Hadoop源码编译全流程分享

奈学教育

原创 | TDD工具集:JUnit、AssertJ和Mockito (十六)编写测试-有条件执行测试

编程道与术

Java 编程 TDD 单元测试 JUnit

OFD版式技术解析系列(一):开篇

华宇法律科技

女朋友跟我吐槽Java中ArrayList遍历时删除元素的各种姿势

NotFound9

Java 架构 面试 编程语言 后端

缓存与存储的一致性策略:从 CPU 到分布式系统

伴鱼技术团队

缓存 系统设计 cpu 系统架构 架构模式

千万别学编译原理

池建强

编译原理

入门到放弃:理清前端技术概念

大伟

Java ecmascript 前端 Node

DNSPod与开源应用专场

DNSPod与开源应用专场

AWS Control Tower ,设置和管理多账户 AWS 环境-InfoQ