此 AWS Solutions Implementation 有什麼作用?
此解決方案會部署安全、獨立且隔離的 AWS 環境,可讓開發人員、安全專業人員和基礎設施團隊安全地試驗 AWS 上執行的 AWS 服務和第三方應用程式。這些沙盒環境利用 Amazon AppStream 2.0 進行基於瀏覽器的存取,並提供安全控制,以防止資料風險,例如資料外洩、意外檔案傳輸,以及與本機網路通訊等。
優勢
帳戶隔離
。
在您現有的 AWS Organizations 帳戶中建立沙盒帳戶,以進行聯網隔離並確保現有帳戶的安全。
安全防護
。
使用自訂 IAM 角色實作安全控制,可讓使用者自由地在隔離的環境內進行試驗。
稽核控制
。
使用安全的 Amazon CloudTrail 日誌進行稽核沙盒活動。
保全和隔離資料傳輸
隔離沙盒中使用的資料,並防止使用者直接從其本機網路上傳資料。
AWS Solutions Implementation 概觀
下圖表示您可以使用解決方案的實作指南和隨附的 AWS CloudFormation 範本來自動部署的架構流程。
AWS 創新沙盒解決方案實作架構
此解決方案在您的 AWS Organizations 帳戶中部署兩個AWS CloudFormation 範本並設定以下項目:
- 第一個 AWS CloudFormation 範本會建立兩個新 AWS 帳戶和兩個新組織單位 (OU):
- 一個包含管理帳戶、執行 NAT 閘道、AWS Transit Gateway 和網際網路閘道的 Amazon Virtual Private Cloud (Amazon VPC) 的組織單位。
- 一個包含沙盒帳戶和 Amazon VPC 的組織單位。
- 該解決方案的沙箱帳戶無法直接存取網際網路。此沙盒帳戶的輸入和輸出流量會透過 AWS Transit Gateway 路由至解決方案的管理帳戶。透過 AWS Identity and Access Management (IAM) 條件金鑰 aws:SourceIp 限制對沙箱帳戶的存取,以僅允許從管理帳戶存取 (允許獨立環境)。
- Amazon AppStream 2.0 映像是由具有必要應用程式和工具的客戶所建立。
- 第二個 CloudFormation 範本使用步驟 3 中建立的映像,來啟動 Amazon AppStream 2.0 執行個體機群,最終使用者會與其連接以存取沙盒帳戶。
為實現備援,Amazon VPC 是使用兩個可用區域 (AZ) 中的子網路建立,以實現高可用性。NAT 閘道和 Amazon AppStream 2.0 機群是跨這兩個可用區域部署。Transit Gateway 連接至兩個子網路。
