此 AWS 解决方案实施有何用途?

AWS Landing Zone 是一种解决方案,可帮助客户根据 AWS 最佳实践更快地设置安全的多账户 AWS 环境。由于存在大量的设计选择,设置多账户环境可能需要大量时间,涉及多个账户和服务的配置,并需要深入了解 AWS 服务。

此解决方案可通过自动设置运行安全、可扩展的工作负载所需的环境,同时通过创建核心账户和资源实施初始安全基准,来帮助节省时间。它还提供一个基线环境来开始使用多账户架构、身份和访问管理、治理、数据安全、网络设计和日志记录。

此解决方案使用最新的 Node.js 运行时。版本 2.3 使用 Node.js 8.10 运行时,该运行时将于 2019 年 12 月 31 日终止服务。要升级到最新版本,可以更新堆栈。 

AWS Landing Zone

版本 2.4
上次更新日期:2020 年 5 月
作者:AWS

此解决方案由 AWS 解决方案架构师或专业服务顾问提供,用于创建 AWS 账户、网络和安全策略的自定义基准。

使用下面的按钮订阅解决方案更新。

注意:要订阅 RSS 更新,您必须为您正在使用的浏览器启用 RSS 插件。 

AWS 解决方案实施概览

AWS Landing Zone 解决方案会部署 AWS Account Vending Machine (AVM) 产品,以预置和自动配置新账户。AVM 利用 AWS Single Sign-On (SSO) 来管理用户账户访问。此环境是可定制的,允许客户通过登录区配置和更新管道实施自己的账户基准。

  • 多账户结构
  • Account Vending Machine
  • 用户访问
  • 通知
  • 多账户结构
  • AWS Landing Zone 解决方案包括四个账户及可使用集中日志记录解决方案和适用于 AWS SSO 的 AWS Managed AD 和 Directory Connector 等 AWS Service Catalog 部署的附加产品。

    aws-landing-zone-architecture
     单击可放大
    AWS Organization 账户

    AWS Landing Zone 部署在 AWS Organizations 账户中。该账户可用于管理 AWS Landing Zone 托管账户的配置和访问。AWS Organizations 账户提供创建并对成员账户进行财务管理的能力。它包含 AWS Landing Zone 配置、Amazon Simple Storage Service (Amazon S3) 存储桶和管道、账户配置 StackSets、AWS Organizations 服务控制策略 (SCP) 和 AWS Single Sign-On (SSO) 配置。

    共享服务账户

    共享服务账户是创建基础设施共享服务(如目录服务)的参考。默认情况下,此账户在共享的 Amazon Virtual Private Cloud (Amazon VPC) 中托管 AWS Managed Active Directory 以进行 AWS SSO 集成,该 VPC 可以自动与使用 Account Vending Machine (AVM) 创建的新 AWS 账户建立对等连接。

    日志存档账户

    日志存档账户包含一个中央 Amazon S3 存储桶,用于存储日志存档账户中所有 AWS CloudTrail 和 AWS Config 日志文件的副本。

    安全账户

    安全账户创建了从安全账户到所有 AWS Landing Zone 托管账户的审计员(只读权限)和管理员(完整访问权限)跨账户角色。这些角色的目的是供公司的安全与合规团队用于在发生事故时审计或执行紧急安全操作。

    此账户还被指定为 Amazon GuardDuty 主账户。主账户的用户可以配置 GuardDuty,并且可以查看并管理其自己的账户及其所有成员账户的 GuardDuty 结果。

  • Account Vending Machine
  • Account Vending Machine (AVM) 是 AWS Landing Zone 的关键组件。AVM 作为 AWS Service Catalog 产品提供,可使客户在预先配置了账户安全基准和预定义网络的组织单位 (OU) 中创建新的 AWS 账户。

    aws-landing-zone-account-vending-machine
     单击可放大

    AWS Landing Zone 利用 AWS Service Catalog 授予管理员创建和管理 AWS Landing Zone 产品的权限,并授予最终用户启动和管理 AVM 产品的权限。

    AVM 使用启动限制允许最终用户无需账户管理员权限即可创建新账户。

  • 用户访问
  • 提供对您的 AWS 账户的最低权限单个用户访问是 AWS 账户管理的必要基本组件。AWS Landing Zone 解决方案为客户提供两个选项来存储其用户和组。

    aws-landing-zone-user-access
     单击可放大
    带有 AWS SSO 目录的 SSO

    默认配置可部署带有 AWS SSO 目录的 AWS Single Sign-On (SSO),在该目录中,可以在 SSO 中管理用户和组。

    创建单点登录终端节点可联合用户对 AWS 账户的访问。

  • 通知
  • AWS Landing Zone 解决方案可配置 Amazon CloudWatch 警报和事件以在根账户登录、控制台登录失败、API 身份验证失败和账户内发生以下变化时发送通知:安全组、网络 ACL、Amazon VPC 网关、对等连接、ClassicLink, Amazon Elastic Compute Cloud (Amazon EC2) 实例状态、大型 Amazon EC2 实例状态、AWS CloudTrail、AWS Identity and Access Management (IAM) 策略和 AWS Config 规则合规性状态。

    aws-landing-zone-notifications
     单击可放大

    该解决方案对每个账户进行配置,以发送通知到本地 Amazon Simple Notification Service (Amazon SNS) 主题。

    “全部配置事件”主题聚合所有托管账户中的 AWS CloudTrail 和 AWS Config 通知。

    “聚合安全通知”主题聚合特定 Amazon CloudWatch 事件、AWS Config 规则合规性状态变化事件和 AWS GuardDuty 结果中的安全通知。

    AWS Lambda 函数将自动订阅安全通知主题,从而将所有通知转发到 AWS Organizations 账户中的聚合 Amazon SNS 主题。

    此架构旨在允许本地管理员订阅和接收特定的账户通知。

安全基准

AWS Landing Zone 解决方案包括一个初始安全基准,可用作为您的组织建立和实施自定义账户安全基准的起点。默认情况下,初始安全基准包括以下设置:

AWS CloudTrail

在每个账户中创建一个 CloudTrail 跟踪并对其进行配置,以将日志发送到日志存档账户中集中管理的 Amazon Simple Storage Service (Amazon S3) 存储桶,以及本地账户中的 AWS CloudWatch Logs 来进行本地操作(包含 14 天的日志组保留策略)。

AWS Config

启用 AWS Config,并将账户配置日志文件存储在日志存档账户中的集中管理 Amazon S3 存储桶中。

AWS Config 规则

启用 AWS Config 规则以监控存储加密(Amazon Elastic Block Store、Amazon S3 和 Amazon Relational Database Service)、AWS Identity and Access Management (IAM) 密码策略、根账户多重验证 (MFA)、Amazon S3 公共读取和写入及不安全的安全组规则。

AWS Identity and Access Management

AWS Identity and Access Management 可用于配置 IAM 密码策略。

跨账户访问

跨账户访问可用于配置从安全账户到 AWS Landing Zone 账户的审计和紧急安全管理访问。

Amazon Virtual Private Cloud (VPC)

Amazon VPC 可为账户配置初始网络。其中包括删除所有区域中的默认 VPC、部署 AVM 请求的网络类型以及适用时与共享服务 VPC 的网络对等。

AWS Landing Zone 通知

Amazon CloudWatch 警报和事件被配置为,在根账户登录、控制台登录失败和账户内的 API 身份验证失败时发送通知。

Amazon GuardDuty

Amazon GuardDuty 被配置为查看和管理成员账户中的 GuardDuty 结果。
构建图标
自己部署解决方案

浏览我们的 AWS 解决方案实施库,以获取常见架构问题的答案。

了解更多 
查找 APN 合作伙伴
查找 APN 合作伙伴

寻找 AWS 认证的咨询和技术合作伙伴,以帮助您入门。

了解更多 
探索图标
了解解决方案咨询服务

浏览我们的咨询服务组合,以获取经过 AWS 审查的解决方案部署帮助。

了解更多