亚马逊AWS官方博客

AWS Control Tower – 设置和管理多账户 AWS 环境

本月早些时候,我遇到了一位企业级 AWS 客户。他们告诉我,他们计划全面迁移到 AWS,并希望从我们大规模设置和运行 AWS 的成功经验中受益。除了建立卓越云中心之外,他们还希望为团队建立一个安全的环境,以便根据我们的建议和最佳实践预置开发和生产账户。

AWS Control Tower
今天,我们宣布正式发布 AWS Control Tower。此服务可自动完成设置新基准多账户 AWS 环境的过程,该环境具有安全、架构完善且可随时可用的特点。Control Tower 融合了 AWS 专业服务在与成千上万的成功客户接洽过程中获得的知识,同时还借鉴了我们的白皮书文档架构完善的框架培训中的建议。Control Tower 提供的指南观点鲜明、严谨规范,旨在加速您的云之旅!

AWS Control Tower 基于多种 AWS 服务构建而成,这些服务包括 AWS OrganizationsAWS Identity and Access Management (IAM)(包括服务控制策略)、AWS ConfigAWS CloudTrailAWS Service Catalog。您可以通过一系列工作流程、控制面板和设置步骤获得统一的体验。 AWS Control Tower 自动化登录区以设置基准环境,其中包括:

  • 使用 AWS Organizations 的多账户环境。
  • 使用 AWS Single Sign-On (SSO) 的身份管理。
  • 使用 AWS SSO 对账户进行联合访问。
  • 从存储在 Amazon S3 中的 AWS CloudTrail 和 AWS Config 集中进行日志记录。
  • 使用 AWS IAM 和 AWS SSO 进行跨账户安全审计。

在深入研究之前,让我们回顾几个关键的 Control Tower 术语:

登录区Control Tower 为您设置的整体多账户环境,从全新的 AWS 账户开始。

防护机制 – 自动实施策略控制,重点关注安全性、合规性和成本管理。防护机制可以是预防性的(阻止被视为有风险的操作)或探测性的(针对不符合要求的操作发出警报)。

蓝图 – 用于设置登录区的架构完善的设计模式。

环境 – AWS 账户及其中的资源,配置为运行应用程序。用户针对新环境发出请求(通过Service Catalog),然后 Control Tower 使用自动化工作流来配置它们。

使用 Control Tower
从同时为主付款人组织主账户的全新 AWS 账户开始,我打开 Control Tower 控制台并单击设置登录区来开始:

AWS Control Tower 将为日志存档和审计创建 AWS 账户,并且需要尚未与 AWS 账户关联的电子邮件地址。我输入两个地址,查看服务权限内的信息,授予 Control Tower 管理 AWS 资源和服务的权限,然后单击设置登录区

设置过程运行大约一个小时,并提供状态更新:

在此过程的早期,Control Tower 会发送一些电子邮件请求来验证账户的所有权,邀请账户加入 AWS SSO,以及订阅某些 SNS 主题。请求包含我必须单击的链接,以便继续进行设置。第二封电子邮件还要求我为该账户创建 AWS SSO 密码。设置完成后,AWS Control Tower 将显示状态报告:

控制台提供了一些建议的操作:

此时,已经应用了强制性防护机制,并且可以启用可选防护机制:

我可以看到组织单位 (OU) 和账户,以及每个账户的合规状态(有关防护机制):

 

使用 Account Factory
左侧的导航允许我访问由 Control Tower 创建和管理的所有 AWS 资源。现在我已经设置了基准环境,我可以单击 Account Factory 为我的团队、应用程序等预置 AWS 账户。

Account Factory 显示我的网络配置(稍后我将向您展示如何编辑它),并为我提供编辑 Account Factory 网络配置或预置新账户的选项:

我可以控制用于新账户的 VPC 配置,包括在预置账户时创建 VPC 的区域:

Account Factory 自动发布到 AWS Service Catalog。我可以根据需要预置管理的账户,组织中的开发人员也可以。我单击 AWS Control Tower Account Factory 以继续:

我查看详细信息,然后单击 LAUNCH PRODUCT 来预置新账户:

使用防护机制
正如我之前提到的,Control Tower 的防护机制提供了强制强烈推荐的指南:

防护机制通过 IAM 服务控制策略 (SCP) 或 AWS Config 规则实施,并且可以逐个组织单元启用:

现已推出
AWS Control Tower 现已推出,您可以立即在美国东部(弗吉尼亚北部)美国东部(俄亥俄)美国西部(俄勒冈)以及欧洲(爱尔兰)区域开始使用它,后续会在更多区域推出。Control Tower 服务是免费的;您只需为它代表您创建的 AWS 资源付费。

除了添加对更多 AWS 区域的支持之外,我们还努力支持您在现有 AWS 账户旁边设置并行登录区,并使您能够构建和使用自定义防护机制。

Jeff