AWS Landing Zone 目前處於長期支援中,並且不會接收任何其他功能。有興趣設定新 Landing Zone 的客戶應查看 AWS Control TowerAWS Control Tower 自訂項

此 AWS Solutions Implementation 有什麼作用?

AWS Landing Zone 是一套解決方案,可協助客戶根據 AWS 最佳實務,更迅速地設定安全的多帳戶環境。由於有大量的設計選項,設定多帳戶環境需耗費大量時間、涉及多個帳戶與服務的組態,且必須充分了解 AWS 服務。

此解決方案可實現對用來執行安全與可擴展工作負載的環境安裝作業自動化,同時透過建立核心帳戶與資源,建置初始安全性基準。此解決方案也提供了一個基準環境,用於開始使用多帳戶架構、Identity and Access Management、管控、資料安全、網路設計和記錄日誌。

此解決方案使用最新的 Node.js 執行時間。2.3 版使用 Node.js 8.10 執行時間,該執行時間已於 2019 年 12 月 31 日終止服務。若要升級至最新版本,您可以更新堆疊。 

AWS Landing Zone

版本 2.4.2
發佈日期︰2021 年 1 月
作者:AWS

此解決方案是由 AWS 解決方案架構師或專業服務顧問提供,用於建立 AWS 帳戶、網路和安全政策的自訂基準。

使用下面的按鈕訂閱解決方案更新。

注意:若要訂閱 RSS 更新,必須為正在使用的瀏覽器啟用 RSS 外掛程式。 

此 Solutions Implementation 是否對您有幫助?
提供意見回饋 

AWS Solution Implementation 概觀

AWS Landing Zone 解決方案會部署 AWS Account Vending Machine (AVM) 產品,以佈建並自動設定新帳戶。AVM 會運用 AWS Single Sign-On (SSO) 功能管理使用者帳戶存取權限。此環境可以自訂,讓客戶能夠透過 Landing Zone 組態與更新管道,建置自己的帳戶基準。

  • 多帳戶結構
  • Account Vending Machine
  • 使用者存取權限
  • 通知
  • 多帳戶結構
  • AWS Landing Zone 解決方案包括四個帳戶,以及可以使用 AWS Service Catalog (如集中式日誌記錄解決方案和 AWS Managed AD 和 AWS SSO 的 Directory Connector) 部署的附加產品。

    AWS Landing Zone | 架構圖
     按一下以放大
    AWS Organization 帳戶

    AWS Landing Zone 部署至 AWS Organizations 帳戶中。此帳戶用來管理 AWS Landing Zone 受管帳戶的組態和存取。AWS Organizations 帳戶能夠建立成員帳戶並進行財務管理。其中包含 AWS Landing Zone 組態 Amazon Simple Storage Service (Amazon S3) 儲存貯體和管道、帳戶組態 Stacksets、AWS Organizations 服務控制政策 (SCP) 和 AWS Single Sign-On (SSO) 組態。

    共用服務帳戶

    共用服務帳戶是用於建立基礎設施共用服務 (如目錄服務) 的參考。在預設情況下,此帳戶在共用 Amazon Virtual Private Cloud (Amazon VPC) 中託管 AWS SSO 整合的 AWS 受管 Active Directory,其可與使用 Account Vending Machine (AVM) 建立的新 AWS 帳戶自動對等。

    日誌封存帳戶

    日誌封存帳戶包含中央 Amazon S3 儲存貯體,用來儲存日誌封存帳戶中所有 AWS CloudTrail 和 AWS Config 日誌檔的副本。

    安全帳戶

    安全帳戶會從安全帳戶對所有 AWS Landing Zone 受管帳戶建立稽核員 (唯讀) 和管理員 (完整存取) 跨帳戶角色。這些角色旨在由公司的安全和合規團隊在發生事件時用來稽核或執行緊急安全操作。

    此帳戶也被指定為主要 Amazon GuardDuty 帳戶。主要帳戶中的使用者可以設定 GuardDuty,也可以檢視並管理自己的帳戶及其所有成員帳戶的 GuardDuty 問題清單。

  • Account Vending Machine
  • Account Vending Machine (AVM) 是 AWS Landing Zone 的關鍵元件。AVM 以 AWS Service Catalog 產品提供,其允許客戶在預先設定帳戶安全基準的組織單位 (OU) 和預先定義的網路中建立新的 AWS 帳戶。

    AWS Landing Zone | 架構圖
     按一下以放大

    AWS Landing Zone 利用 AWS Service Catalog 授予管理員建立和管理 AWS Landing Zone 產品的許可,以及最終使用者啟動和管理 AVM 產品的許可。

    AVM 使用啟動限制功能來允許最終使用者建立新帳戶,而無需帳戶管理員的許可。

  • 使用者存取權限
  • 為 AWS 帳戶提供最低權限、個人使用者存取是 AWS 帳戶管理一項不可或缺的基礎元件。AWS Landing Zone 解決方案為客戶提供了兩個選項來儲存其使用者和群組。

    AWS Landing Zone | 架構圖
     按一下以放大
    使用 AWS SSO 目錄的 SSO

    預設組態可部署使用 AWS SSO 目錄的 AWS Single Sign-On (SSO),可在 SSO 中管理使用者和群組。

    建立單一登入端點,將使用者存取聯合至 AWS 帳戶。

  • 通知
  • AWS Landing Zone 解決方案設定 Amazon CloudWatch 警示和事件,以發送有關根帳戶登入、主控台登入失敗、API 身分驗證失敗以及帳戶內以下變更的通知:安全群組、網路 ACL、Amazon VPC 閘道、對等連線、ClassicLink、Amazon Elastic Compute Cloud (Amazon EC2) 執行個體狀態、大型 Amazon EC2 執行個體狀態、AWS CloudTrail、AWS Identity and Access Management (IAM) 政策以及 AWS Config 規則合規狀態。

    AWS Landing Zone | 架構圖
     按一下以放大

    該解決方案將每個帳戶設定為向本機 Amazon Simple Notification Service (Amazon SNS) 主題發送通知。

    「All Configuration Events (所有組態事件)」主題彙總所有受管帳戶中的 AWS CloudTrail 和 AWS Config 通知。

    「Aggregate Security Notifications (彙總安全通知)」主題彙總來自特定 Amazon CloudWatch Events、AWS Config 規則合規狀態變更事件和 AWS GuardDuty 問題清單的安全通知。

    AWS Lambda 函數會自動訂閱安全通知主題,以將所有通知轉發至 AWS Organizations 帳戶中的彙總 Amazon SNS 主題。

    此架構的設計旨在讓本機管理員訂閱並接收特定帳戶通知。

安全基準

AWS Landing Zone 解決方案包括初始安全基準,可用作您的組織建立和實作自訂帳戶安全基準的起點。在預設情況下,初始安全基準包括以下設定:

AWS CloudTrail

在每個帳戶中建立一個 CloudTrail 追蹤,並將其設定為將日誌發送至日誌封存帳戶中的集中管理的 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以及發送至本機帳戶中的 AWS CloudWatch Logs,以進行本機運作 (採用 14 天的日誌群組保留政策)。

AWS Config

AWS Config 已啟用,而且帳戶組態日誌檔儲存在日誌封存帳戶中集中管理的 Amazon S3 儲存貯體之中。

AWS Config 規則

啟用 AWS Config 規則來監控儲存加密 (Amazon Elastic Block Store、Amazon S3 和 Amazon Relational Database Service)、AWS Identity and Access Management (IAM) 密碼政策、根帳戶 Multi-Factor Authentication (MFA)、Amazon S3 公用讀取和寫入,以及不安全的安全群組規則。

AWS Identity and Access Management

AWS Identity and Access Management 用於設定 IAM 密碼政策。

跨帳戶存取

跨帳戶存取用於對安全帳戶中的 AWS Landing Zone 帳戶設定稽核和緊急安全管理存取。

Amazon Virtual Private Cloud (VPC)

Amazon VPC 為帳戶設定初始網路。其中包括刪除所有區域中的預設 VPC、部署 AVM 請求的網路類型,以及與共用服務 VPC 進行對等連線 (如適用)。

AWS Landing Zone 通知

Amazon CloudWatch 警示和事件設定為可在帳戶內傳送有關根帳戶登入、主控台登入失敗和 API 身分驗證失敗的通知。

Amazon GuardDuty

Amazon GuardDuty 設定為可檢視和管理成員帳戶中的 GuardDuty 問題清單。
建立圖示
自行部署解決方案

瀏覽我們的 AWS 解決方案實作庫,獲取常見架構問題的答案。

進一步了解 
尋找 APN 合作夥伴
尋找 APN 合作夥伴

尋找 AWS 認證的諮詢與技術合作夥伴協助您入門。

進一步了解 
探索圖示
探索解決方案諮詢產品

瀏覽我們的諮詢產品組合,獲取經過 AWS 審核的解決方案部署協助。

進一步了解