此 AWS 解决方案实施有何用途?
此解决方案实施可以部署安全、独立且隔离的环境,允许开发人员、安全专业人员和基础设施团队安全地试用 AWS 服务和在 AWS 上运行的第三方应用程序。这些沙盒环境利用 Amazon AppStream 2.0 进行基于浏览器的访问,并提供安全控制以防止数据风险,例如数据外泄、意外文件传输,以及与本地网络的通信。
优势
账户隔离
。
在现有 AWS Organizations 账户内创建沙盒账户,以实现网络隔离并确保现有账户的安全。
安全防护
。
使用自定义 IAM 角色实现安全控制,允许用户在隔离的环境中自由地试用。
审计控制
。
使用安全的 Amazon CloudTrail 日志审计沙盒活动。
保护和管理数据传输
隔离沙盒中使用的数据,并防止用户直接从其本地网络上载数据。
AWS 解决方案实施概览
下图显示了您可以使用该解决方案实施指南和随附的 AWS CloudFormation 模板自动部署的架构流程。
AWS Innovation Sandbox 解决方案实施架构
此解决方案在您的 AWS Organizations 账户中部署两个 AWS CloudFormation 模板,并设置以下内容:
- 第一个 AWS CloudFormation 模板创建两个新的 AWS 账户和两个新的组织单位(OU):
- 包含管理账户、运行 NAT 网关的 Amazon Virtual Private Cloud(Amazon VPC)、AWS Transit Gateway 和互联网网关的组织单位。
- 包含沙盒账户和 Amazon VPC 的组织单位。
- 该解决方案的沙盒账户无法直接访问互联网。此沙盒账户的入口和出口流量通过 AWS Transit Gateway 路由到解决方案的管理账户。通过 AWS Identity and Access Management(IAM)条件键 aws:SourceIp 限制对沙盒账户的访问,以仅允许从管理账户访问(允许独立环境)。
- Amazon AppStream 2.0 镜像由客户使用所需的应用程序和工具创建。
- 第二个 CloudFormation 模板使用在第 3 步中创建的镜像来启动 Amazon AppStream 2.0 实例机群,最终用户连接到该实例机群以访问沙盒账户。
为了实现冗余,Amazon VPC 在两个可用区(AZ)中创建子网以实现高可用性。NAT 网关和 Amazon AppStream 2.0 机群部署在这两个 AZ 中。Transit Gateway 同时连接到两个子网。
