写点什么

AWS Control Tower ,设置和管理多账户 AWS 环境

2019 年 9 月 26 日

AWS Control Tower ,设置和管理多账户 AWS 环境

本月早些时候,我遇到了一位企业级 AWS 客户。他们告诉我,他们计划全面迁移到 AWS,并希望从我们大规模设置和运行 AWS 的成功经验中受益。除了建立卓越云中心之外,他们还希望为团队建立一个安全的环境,以便根据我们的建议和最佳实践预置开发和生产账户。


AWS Control Tower


今天,我们宣布正式发布 AWS Control Tower。此服务可自动完成设置新基准多账户 AWS 环境的过程,该环境具有安全、架构完善且可随时可用的特点。Control Tower 融合了 AWS 专业服务在与成千上万的成功客户接洽过程中获得的知识,同时还借鉴了我们的白皮书文档架构完善的框架培训中的建议。Control Tower 提供的指南观点鲜明、严谨规范,旨在加速您的云之旅!


AWS Control Tower 基于多种 AWS 服务构建而成,这些服务包括 AWS Organizations、AWS Identity and Access Management (IAM)(包括服务控制策略)、AWS Config、AWS CloudTrail 和 AWS Service Catalog。您可以通过一系列工作流程、控制面板和设置步骤获得统一的体验。 AWS Control Tower 自动化登录区以设置基准环境,其中包括:


使用 AWS Organizations 的多账户环境。


使用 AWS Single Sign-On (SSO) 的身份管理。


使用 AWS SSO 对账户进行联合访问。


从存储在 Amazon S3 中的 AWS CloudTrail 和 AWS Config 集中进行日志记录。


使用 AWS IAM 和 AWS SSO 进行跨账户安全审计。


在深入研究之前,让我们回顾几个关键的 Control Tower 术语:


登录区 – Control Tower 为您设置的整体多账户环境,从全新的 AWS 账户开始。


防护机制 – 自动实施策略控制,重点关注安全性、合规性和成本管理。防护机制可以是预防性的(阻止被视为有风险的操作)或探测性的(针对不符合要求的操作发出警报)。


蓝图 – 用于设置登录区的架构完善的设计模式。


环境 – AWS 账户及其中的资源,配置为运行应用程序。用户针对新环境发出请求(通过 Service Catalog),然后 Control Tower 使用自动化工作流来配置它们。


使用 Control Tower


从同时为主付款人和组织主账户的全新 AWS 账户开始,我打开 Control Tower 控制台并单击设置登录区来开始:



AWS Control Tower 将为日志存档和审计创建 AWS 账户,并且需要尚未与 AWS 账户关联的电子邮件地址。我输入两个地址,查看服务权限内的信息,授予 Control Tower 管理 AWS 资源和服务的权限,然后单击设置登录区:



设置过程运行大约一个小时,并提供状态更新:



在此过程的早期,Control Tower 会发送一些电子邮件请求来验证账户的所有权,邀请账户加入 AWS SSO,以及订阅某些 SNS 主题。请求包含我必须单击的链接,以便继续进行设置。第二封电子邮件还要求我为该账户创建 AWS SSO 密码。设置完成后,AWS Control Tower 将显示状态报告:



控制台提供了一些建议的操作:



此时,已经应用了强制性防护机制,并且可以启用可选防护机制:



我可以看到组织单位 (OU) 和账户,以及每个账户的合规状态(有关防护机制):



使用 Account Factory


左侧的导航允许我访问由 Control Tower 创建和管理的所有 AWS 资源。现在我已经设置了基准环境,我可以单击 Account Factory 为我的团队、应用程序等预置 AWS 账户。



Account Factory 显示我的网络配置(稍后我将向您展示如何编辑它),并为我提供编辑 Account Factory 网络配置或预置新账户的选项:



我可以控制用于新账户的 VPC 配置,包括在预置账户时创建 VPC 的区域:



Account Factory 自动发布到 AWS Service Catalog。我可以根据需要预置管理的账户,组织中的开发人员也可以。我单击 AWS Control Tower Account Factory 以继续:



我查看详细信息,然后单击 LAUNCH PRODUCT 来预置新账户:



使用防护机制


正如我之前提到的,Control Tower 的防护机制提供了强制或强烈推荐的指南:



防护机制通过 IAM 服务控制策略 (SCP) 或 AWS Config 规则实施,并且可以逐个组织单元启用:



现已推出


AWS Control Tower 现已推出,您可以立即在美国东部(弗吉尼亚北部)、美国东部(俄亥俄)、美国西部(俄勒冈)以及欧洲(爱尔兰)区域开始使用它,后续会在更多区域推出。Control Tower 服务是免费的;您只需为它代表您创建的 AWS 资源付费。


除了添加对更多 AWS 区域的支持之外,我们还努力支持您在现有 AWS 账户旁边设置并行登录区,并使您能够构建和使用自定义防护机制。


本文转载自 AWS 技术博客。


原文链接:


https://amazonaws-china.com/cn/blogs/china/aws-control-tower-set-up-govern-a-multi-account-aws-environment/


2019 年 9 月 26 日 17:25223
用户头像

发布了 1199 篇内容, 共 26.6 次阅读, 收获喜欢 17 次。

关注

欲了解 AWS 的更多信息,请访问【AWS 技术专区】

评论

发布
暂无评论
发现更多内容

使用nodejs和express搭建http web服务

程序那些事

HTTP nodejs 异步IO 程序那些事 web服务

自动驾驶分级,小白能理解的那种(28天写作 Day8/28)

mtfelix

自动驾驶 28天写作

JavaScript04 - JavaScript语法

桃夭十一里

JavaScript

9. 细节见真章,Formatter注册中心的设计很讨巧

YourBatman

Converter ConversionService Formatter

【得物技术】代码覆盖率原理与得物app实践

得物技术

测试 原理 代码 得物技术 覆盖率

我们为什么打比方

石云升

28天写作 确认偏误 打比方

为什么印度不会成为世界工厂?

JiangX

印度 28天写作 世界工厂

JavaScript03 - window对象的方法

桃夭十一里

JavaScript

技术创新是PC市场发展基石,英特尔占据明显领先优势

intel001

Python列表对象入门

老赵

28天写作

限时开放!阿里P8大师终于把这份微服务架构与实践第2版PDF分享出来了

云流

Java 编程 程序员 微服务 架构师

《运气的秘密》笔记

dowell87

28天写作

保姆级 tomcat 快速入门

田维常

tomcat源码解读

区块链2021狂想曲:迎接以技术为名的春天

脑极体

Spring Boot 集成Thymeleaf模板引擎

武哥聊编程

Java springboot SpringBoot 2 thymeleaf 28天写作

详解HDFS3.x新特性-纠删码

五分钟学大数据

hadoop hdfs

IO和NIO的对比篇

Java架构师迁哥

案例研究之聊聊 QLExpress 源码 (七)

小诚信驿站

聊聊架构 规则引擎 28天写作 QLExpress源码 聊聊源码

[5/28]产品运维保障体系的质量实践

俊毅

JavaScript02 - js的引入方式

桃夭十一里

JavaScript

精选算法面试-数组III

李孟

面试 算法 数组 28天写作

使用 kubectl-rabbitmq 部署和运维 K8S 上的 RabbitMQ 集群

郭旭东

RabbitMQ kubectl kubectl plugin

也谈Python编码格式

ITCamel

Python 编码格式

这份30天获得40k+星,多次登上榜首的算法宝典,带你刷爆LeetCode

Crud的程序员

程序员 架构 算法

Java并发编程实战(4)- 死锁

技术修行者

Java 并发编程 多线程 死锁

一文带你学会AQS和并发工具类的关系

比伯

Java 编程 架构 面试 计算机

JavaScript05 - JavaScript数据类型

桃夭十一里

JavaScript

在GitHub中向开源项目提交PR的过程

worry

GitHub pull request

JavaScript01 - 基础

桃夭十一里

JavaScript

聚焦目标,团队工作不再一盘散沙(下)

一笑

管理 目标管理 复盘 28天写作

阿里表哥甩我一份Redis笔记,看完还进不了阿里让我卖豆腐去

互联网架构师小马

Java 数据库 nosql redis 面试

NLP领域的2020年大事记及2021展望

NLP领域的2020年大事记及2021展望

AWS Control Tower ,设置和管理多账户 AWS 环境-InfoQ