概述
通过 AWS 上的创新沙盒,云管理员能够借助实施服务控制策略、支出控制和账户回收机制实现临时沙盒环境的自动化管理。利用此解决方案,客户可节省数周的管理时间,并赋能团队在 AWS 上进行学习、实验和创新。
优势
通过自动部署嵌套组织单元(OU)结构的沙盒组织单元,快速设置短期沙盒环境,引导沙盒账户生命周期并遵循工作负载隔离最佳实践。
通过在沙盒账户中自动实施标准化服务控制策略(SCP),减少管理开销,确保一致的治理,同时节省数周宝贵的云管理时间。
深入了解沙盒账户的支出情况,并配置自动支出限制机制,在使用量接近预算阈值时自动触发预警。
利用智能资源清理机制,在支出或使用时间达到预定义限制时自动启动清理流程,使沙盒账户可重复用于新实验,符合 AWS Organizations 最佳实践。
通过基于 Web 的用户界面集中监视所有沙盒账户,为沙盒用户提供便捷的账户租赁申请机制,并为其分配客户自有 AWS 账户。
技术详情
如果使用默认参数部署此解决方案,系统将在您的 AWS 账户中构建以下环境。使用 AWS CloudFormation 模板部署的解决方案组件的大致流程如下:
第 1 步
用户使用 AWS IAM Identity Center 身份验证访问解决方案(SAML2.0 应用程序)。您可将 IAM Identity Center 配置为使用其内部用户存储功能,或与 Okta、Microsoft Entra ID 等外部身份提供商集成。
第 2 步
该解决方案托管在 Amazon CloudFront 分配中。使用 Amazon Simple Storage Service(Amazon S3)存储桶托管和提供 Web 前端,包括 HTML 页面、CSS 样式表和 JavaScript 代码。
第 3 步
该 Web UI 调用 Amazon API Gateway REST API 资源(资源、方法、模型)来获取和变更解决方案数据。AWS Lambda 函数根据解决方案管理员在 IAM Identity Center 为用户组分配的身份,使用基于角色的访问控制对请求进行授权。AWS WAF 可保护 Amazon API Gateway 免受常见漏洞和机器人的攻击,它们会影响可用性、降低安全性或占用过多资源。
第 4 步
Lambda 函数通过读取状态和配置数据并将其写入 Amazon DynamoDB 表来处理 API 请求。这些 Lambda 函数还从 AWS AppConfig 获取全局配置,以管理解决方案参数,包括租赁偏好、账户清理设置、客户措辞的“服务条款”和身份验证配置。
第 5 步
Lambda 函数使用 AWS Organizations API 管理账户的生命周期,并根据账户状态在 OU 之间移动账户。连接到 OU 的 SCP 可防止沙盒用户使用敏感、昂贵或难以清理的服务和资源。
第 6 步
该解决方案的后端包括一个基于事件的架构,该架构建立在 Amazon EventBridge 上,用于路由事件。该解决方案通过 Lambda 监控沙盒账户租赁情况,检测是否突破了配置的租赁预算和时长阈值,并创建事件以通过 Amazon Simple Email Service 发送电子邮件通知,同时调用负责管理租赁和账户生命周期的 Lambda 函数。
第 7 步
正在进行加入流程或即将终止租赁的账户将调用 AWS Step Functions 进行账户清理,该服务负责将账户回收至账户池,以备重复使用。
第 8 步
Step Functions 运行 AWS CodeBuild 项目来监视活跃账户租赁情况,并执行诸如在组织单元之间移动 AWS 账户、附加/分离 IAM Identity Center 权限集以授予用户访问权限,或启动 AWS 账户清理(这会通过 AWS Nuke 删除所有用户创建的资源)等操作。
第 9 步
用户使用 IAM Identity Center 访问门户访问分配的账户。该解决方案在 Web UI 中提供通过单点登录(SSO)直接访问 AWS 账户的链接。
第 1 步
用户使用 AWS IAM Identity Center 身份验证访问解决方案(SAML2.0 应用程序)。您可将 IAM Identity Center 配置为使用其内部用户存储功能,或与 Okta、Microsoft Entra ID 等外部身份提供商集成。
第 2 步
该解决方案托管在 Amazon CloudFront 分配中。使用 Amazon Simple Storage Service(Amazon S3)存储桶托管和提供 Web 前端,包括 HTML 页面、CSS 样式表和 JavaScript 代码。
第 3 步
该 Web UI 调用 Amazon API Gateway REST API 资源(资源、方法、模型)来获取和变更解决方案数据。AWS Lambda 函数根据解决方案管理员在 IAM Identity Center 为用户组分配的身份,使用基于角色的访问控制对请求进行授权。AWS WAF 可保护 Amazon API Gateway 免受常见漏洞和机器人的攻击,它们会影响可用性、降低安全性或占用过多资源。
第 4 步
Lambda 函数通过读取状态和配置数据并将其写入 Amazon DynamoDB 表来处理 API 请求。这些 Lambda 函数还从 AWS AppConfig 获取全局配置,以管理解决方案参数,包括租赁偏好、账户清理设置、客户措辞的“服务条款”和身份验证配置。
第 5 步
Lambda 函数使用 AWS Organizations API 管理账户的生命周期,并根据账户状态在 OU 之间移动账户。连接到 OU 的 SCP 可防止沙盒用户使用敏感、昂贵或难以清理的服务和资源。
第 6 步
该解决方案的后端包括一个基于事件的架构,该架构建立在 Amazon EventBridge 上,用于路由事件。该解决方案通过 Lambda 监控沙盒账户租赁情况,检测是否突破了配置的租赁预算和时长阈值,并创建事件以通过 Amazon Simple Email Service 发送电子邮件通知,同时调用负责管理租赁和账户生命周期的 Lambda 函数。
第 7 步
正在进行加入流程或即将终止租赁的账户将调用 AWS Step Functions 进行账户清理,该服务负责将账户回收至账户池,以备重复使用。
第 8 步
Step Functions 运行 AWS CodeBuild 项目来监视活跃账户租赁情况,并执行诸如在组织单元之间移动 AWS 账户、附加/分离 IAM Identity Center 权限集以授予用户访问权限,或启动 AWS 账户清理(这会通过 AWS Nuke 删除所有用户创建的资源)等操作。
第 9 步
用户使用 IAM Identity Center 访问门户访问分配的账户。该解决方案在 Web UI 中提供通过单点登录(SSO)直接访问 AWS 账户的链接。