AWS Control Tower 新增了控件以帮助客户满足数字主权需求



今天，我们在 AWS Control Tower 中添加了一组 65 个专用控件，以帮助您满足数字主权需求。

数字主权是对数字资产的控制：数据的驻留位置、流向和对数据的控制权。自 17 年前创建 AWS Cloud 以来，我们一直致力于让您控制自己的数据。

去年 11 月，我们发布了 AWS 数字主权承诺，承诺为所有 AWS 客户提供云端可用的最先进的主权控件和功能。从那时起，我们就宣布了朝此方向发展的几个步骤。AWS Nitro System 已通过独立第三方的验证，确认其所含机制不允许任何 AWS 员工访问您在 AWS 主机上的数据。我们推出了 AWS 专用本地区域，这是一项完全由 AWS 托管的基础设施，专供客户或社区使用，并且位于客户指定的位置或数据中心。最近，我们宣布在欧洲构建一个新的独立主权区域。

推出支持数字主权的 AWS Control Tower 控件是我们在数据驻留、精细访问限制、加密和韧性能力路线图中的又一个步骤。

AWS Control Tower 提供了一种简单有效的方法来设置和管理安全的多账户 AWS 环境。它建立了一个基于最佳实践蓝图的登录区，并使用您可以从预先打包的列表中选择的控件来支持治理。登录区是一个架构完善的多账户基准，遵循 AWS 最佳实践。控件用于实施安全性、合规性和运营方面的监管规则。

数字资产所需的控制水平因行业和国家/地区而异。在严格监管行业运营的客户可能有义务将其数据保存在特定的国家或地区，例如欧盟。其他客户则对与数据加密以及加密密钥的保存地点相关的内容负有责任。此外，数字主权需求发展迅速，使得定义和实施所有必需的控制变得具有挑战性。许多客户告诉我们，他们担心将不得不在 AWS 的全部功能和受限功能的主权云解决方案之间进行选择，这可能会阻碍其创新、转型和增长能力。我们坚信您不应进行此类选择。

AWS Control Tower 有助于缩短定义、实施和管理控件所需的时间，以管理大规模数据的存储、传输和处理位置。

AWS Control Tower 为您提供多个账户中的已启用控件、您的合规状态以及控件证据的综合视图。这些信息可通过控制台以及调用我们的 API 来获得。随着需求和 AWS 服务的发展，AWS Control Tower 为您提供更新控件，帮助您持续管理数字主权需求。

以下是我们增加的几个控件示例：

• 操作员访问权限 – 要求 Amazon Elastic Compute Cloud（Amazon EC2）专属主机使用 AWS Nitro 实例类型。
• 控制对数据的访问权限 – 要求不能公开还原 Amazon Elastic Block Store（Amazon EBS）快照。
• 静态和传输中加密，包括高级密钥管理策略 – 使用 AWS::EC2:: 资源类型创建时，要求 EC2 实例使用支持在实例之间传输加密的 AWS Nitro 实例类型。它还要求 Amazon Relational Database Service（Amazon RDS）数据库实例将静态加密配置为使用您为支持的引擎类型指定的 AWS KMS 密钥。

这些只是三个类别中的四个示例。我们已添加 65 个新控件，数字主权类别分组下有超过 245 个控件可用。完整列表在 AWS Control Tower 文档中提供。

AWS Control Tower 用于防止区域中意外数据存储或流量的技术机制之一是区域拒绝控件。此参数允许系统管理员拒绝访问选定 AWS 区域中的 AWS 服务和操作。直到今天，区域拒绝控制只能应用于整个登录区及其所有组织单位（OU）和账户。通过此次发布，您可在组织单位级别配置新的区域拒绝控制，并根据您的独特业务需求选择要允许的服务和 IAM 主体。

我们来看一下如何开始使用
在本演示中，假设我想在一组区域中限制对 AWS 服务的访问。

打开 AWS 管理控制台并导航至 AWS Control Tower 页面。在左侧导航窗格的控件库下，选择类别 > 群组 > 数字主权。

我可以查看可用控件列表。

找到并选择要启用的控件：根据组织单位请求的 AWS 区域拒绝访问 AWS。有一个控件描述以及一个适用的框架列表（NIST 800 和 PCI DSS）。选择启用控件。

在下一页，选择要为其启用此控件的组织单位（OU）。

选择将允许访问的 AWS 区域。实施控件后，所有未选中区域的访问都将被拒绝。

然后，查看服务控制策略（SCP）。它包含拒绝语句，以阻止访问列出的服务或 API。或者，可添加 NotActions。这是例外列表。NotActions 下列出的服务或 API 已获得授权。在此示例中，拒绝了除三个 API 之外的所有内容：sqs:SendMessage、ec2:StartInstances 和 s3:GetObject。

在最后一页上，添加了不受控制的 IAM 主体（用户或角色）列表。这是例外列表。还像往常一样使用 AWS 资源标记我的控件。

在最后一个屏幕（此处未显示）上，查看所有参数并选择启用控件。

可在已启用的 OU 选项卡下验证已启用控件的 OU 列表。

摘要页面显示了为此 OU 启用的所有区域、API 和 IAM 主体。其余所有内容均被拒绝。可随时更新参数。

定价和可用性
AWS Control Tower 适用于所有商业区域和美国 GovCloud。

使用 AWS Control Tower 不收取额外费用。但是，在设置 AWS Control Tower 时，则将开始为设置登录区和强制性控件而配置的 AWS 服务产生费用。

某些 AWS 服务不收取额外费用，例如 和 AWS IAM Identity Center。但是，以下这些服务将根据您的使用情况向您收费：AWS Service Catalog、AWS CloudTrail、AWS Config、Amazon CloudWatch、Amazon Simple Notification Service（Amazon SNS）、Amazon Simple Storage Service（Amazon S3）和 Amazon Virtual Private Cloud（Amazon VPC）。您只需为实际使用量付费。AWS Control Tower 定价页面包含详细信息。

新的 AWS Control Tower 控件减轻了识别和部署保护措施以满足您的数字主权需求的负担。这组控件为完全托管，我们将随着 AWS 服务和数字主权需求的不断变化对其进行更新。

立即配置 AWS Control Tower 控件有助于支持您的数字主权需求。

— seb