本月早些时候，我遇到了一位企业级 AWS 客户。他们告诉我，他们计划全面迁移到 AWS，并希望从我们大规模设置和运行 AWS 的成功经验中受益。除了建立卓越云中心之外，他们还希望为团队建立一个安全的环境，以便根据我们的建议和最佳实践预置开发和生产账户。

AWS Control Tower
今天，我们宣布正式发布 AWS Control Tower。此服务可自动完成设置新基准多账户 AWS 环境的过程，该环境具有安全、架构完善且可随时可用的特点。Control Tower 融合了 AWS 专业服务在与成千上万的成功客户接洽过程中获得的知识，同时还借鉴了我们的白皮书、文档、架构完善的框架和培训中的建议。Control Tower 提供的指南观点鲜明、严谨规范，旨在加速您的云之旅！

AWS Control Tower 基于多种 AWS 服务构建而成，这些服务包括 AWS Organizations、AWS Identity and Access Management (IAM)（包括服务控制策略）、AWS Config、AWS CloudTrail 和 AWS Service Catalog。您可以通过一系列工作流程、控制面板和设置步骤获得统一的体验。 AWS Control Tower 自动化登录区以设置基准环境，其中包括：

使用 AWS Organizations 的多账户环境。
使用 AWS Single Sign-On (SSO) 的身份管理。
使用 AWS SSO 对账户进行联合访问。
从存储在 Amazon S3 中的 AWS CloudTrail 和 AWS Config 集中进行日志记录。
使用 AWS IAM 和 AWS SSO 进行跨账户安全审计。
在深入研究之前，让我们回顾几个关键的 Control Tower 术语：

登录区 – Control Tower 为您设置的整体多账户环境，从全新的 AWS 账户开始。

防护机制 – 自动实施策略控制，重点关注安全性、合规性和成本管理。防护机制可以是预防性的（阻止被视为有风险的操作）或探测性的（针对不符合要求的操作发出警报）。

蓝图 – 用于设置登录区的架构完善的设计模式。

环境 – AWS 账户及其中的资源，配置为运行应用程序。用户针对新环境发出请求（通过Service Catalog），然后 Control Tower 使用自动化工作流来配置它们。

使用 Control Tower
从同时为主付款人和组织主账户的全新 AWS 账户开始，我打开 Control Tower 控制台并单击设置登录区来开始：

AWS Control Tower 将为日志存档和审计创建 AWS 账户，并且需要尚未与 AWS 账户关联的电子邮件地址。我输入两个地址，查看服务权限内的信息，授予 Control Tower 管理 AWS 资源和服务的权限，然后单击设置登录区：

设置过程运行大约一个小时，并提供状态更新：

在此过程的早期，Control Tower 会发送一些电子邮件请求来验证账户的所有权，邀请账户加入 AWS SSO，以及订阅某些 SNS 主题。请求包含我必须单击的链接，以便继续进行设置。第二封电子邮件还要求我为该账户创建 AWS SSO 密码。设置完成后，AWS Control Tower 将显示状态报告：

控制台提供了一些建议的操作：

此时，已经应用了强制性防护机制，并且可以启用可选防护机制：

我可以看到组织单位 (OU) 和账户，以及每个账户的合规状态（有关防护机制）：

使用 Account Factory
左侧的导航允许我访问由 Control Tower 创建和管理的所有 AWS 资源。现在我已经设置了基准环境，我可以单击 Account Factory 为我的团队、应用程序等预置 AWS 账户。

Account Factory 显示我的网络配置（稍后我将向您展示如何编辑它），并为我提供编辑 Account Factory 网络配置或预置新账户的选项：

我可以控制用于新账户的 VPC 配置，包括在预置账户时创建 VPC 的区域：

Account Factory 自动发布到 AWS Service Catalog。我可以根据需要预置管理的账户，组织中的开发人员也可以。我单击 AWS Control Tower Account Factory 以继续：

我查看详细信息，然后单击 LAUNCH PRODUCT 来预置新账户：

使用防护机制
正如我之前提到的，Control Tower 的防护机制提供了强制或强烈推荐的指南：

防护机制通过 IAM 服务控制策略 (SCP) 或 AWS Config 规则实施，并且可以逐个组织单元启用：

现已推出
AWS Control Tower 现已推出，您可以立即在美国东部（弗吉尼亚北部）、美国东部（俄亥俄）、美国西部（俄勒冈）以及欧洲（爱尔兰）区域开始使用它，后续会在更多区域推出。Control Tower 服务是免费的；您只需为它代表您创建的 AWS 资源付费。

除了添加对更多 AWS 区域的支持之外，我们还努力支持您在现有 AWS 账户旁边设置并行登录区，并使您能够构建和使用自定义防护机制。

本文转载自AWS技术博客。

原文链接：
https://amazonaws-china.com/cn/blogs/china/aws-control-tower-set-up-govern-a-multi-account-aws-environment/

创作场景

AWS Control Tower ，设置和管理多账户 AWS 环境