AWS 账户 在 AWS Control Tower 中简介 - AWS Control Tower
引入现有安全账户或日志账户的注意事项关于共享账户

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS 账户 在 AWS Control Tower 中简介

AWS 账户 是您拥有的所有资源的容器。这些资源包括账户接受的 AWS Identity and Access Management (IAM) 身份,这些身份决定了谁有权访问该账户。IAM 身份可以包括用户、群组、角色等。有关在 AWS Control Tower 中使用 IAM、用户、角色和策略的更多信息,请参阅 AWS Cont rol Tower 中的身份和访问管理

资源和账户创建时间

当 AWS Control Tower 创建或注册账户时,它会部署该账户所需的最低资源配置,包括账户工厂模板形式的资源和着陆区中的其他资源。这些资源可能包括 IAM 角色、 AWS CloudTrail 跟踪、S ervice Catalog 预配置产品和 IAM 身份中心用户。AWS Control Tower 还根据控制配置的要求为新账户将成为成员账户的组织单位 (OU) 部署资源。

AWS Control Tower 代表您协调这些资源的部署。每个资源可能需要几分钟才能完成部署,因此请考虑创建或注册账户之前的总时间。有关管理账户资源的更多信息,请参阅创建和修改 AWS Control Tower 资源的指南

引入现有安全账户或日志账户的注意事项

在接受 AWS 账户 作为安全账户或日志账户之前,AWS Control Tower 会检查该账户中是否有与 AWS Control Tower 要求相冲突的资源。例如,您可能有一个与 AWS Control Tower 要求的名称相同的日志存储桶。此外,AWS Control Tower 还会验证账户是否可以配置资源;例如,通过确保启用 AWS Security Token Service (AWS STS)、账户未被暂停以及 AWS Control Tower 有权在账户内配置资源。

AWS Control Tower 不会删除您提供的日志和安全账户中的任何现有资源。但是,如果您选择启用 AWS 区域 拒绝功能,则区域拒绝控制会阻止访问被拒绝区域中的资源。

关于共享账户

三个特殊 AWS 账户 账户与 AWS Control Tower 关联:管理账户、审计账户和日志存档账户。这些账户通常被称为共享账户,有时也被称为核心账户

  • 在设置 landing zone 时,您可以为审核和日志存档帐户选择自定义名称。有关更改账户名称的信息,请参阅从外部更改 AWS Control Tower 资源名称

  • 在最初的着陆区设置过程中,您还可以将现有账户指定 AWS 账户 为 AWS Control Tower 安全账户或日志账户。此选项使得 AWS Control Tower 无需创建新的共享账户。(这是一次性选择。)

有关共享账户及其关联资源的更多信息,请参阅在共享账户中创建的资源

管理账户

这将 AWS 账户 启动 AWS Control Tower。默认情况下,该账户的根用户和该账户的 IAM 用户或 IAM 管理员用户拥有对您的 landing zone 内所有资源的完全访问权限。

注意

作为最佳实践,我们建议在 AWS Control Tower 控制台中执行管理功能时以具有管理员权限的 IAM 身份中心用户身份登录,而不是以该账户的根用户或 IAM 管理员用户身份登录。

有关管理账户中可用角色和资源的更多信息,请参阅在共享账户中创建的资源

日志存档账户

日志存档共享账户是在您创建 landing zone 时自动设置的。

此账户包含一个中央 Amazon S3 存储桶,用于存储您的着陆区中所有其他账户的副本 AWS CloudTrail 和所有其他账户的 AWS Config 日志文件。作为最佳实践,我们建议限制负责合规和调查的团队及其相关安全或审计工具访问日志存档帐户。此账户可用于自动安全审计,也可用于托管自定义 AWS Config 规则函数(例如 Lambda 函数)以执行补救操作。

亚马逊 S3 存储桶政策

对于 AWS Control Tower landing zone 版本 3.3 及更高版本,账户必须满足对审核存储桶的任何写入权限的aws:SourceOrgID条件。此条件可确保 CloudTrail 只有代表组织内的账户才能将日志写入您的 S3 存储桶;它可以防止组织外部的 CloudTrail 日志写入您的 AWS Control Tower S3 存储桶。有关更多信息,请参阅 AWS Control Tower 着陆区版本 3.3

有关日志存档账户中可用角色和资源的更多信息,请参阅 日志存档账户资源

注意

这些日志无法更改。存储所有日志的目的都是为了进行与账户活动相关的审计和合规调查。

审计账户

此共享账户是在您创建着陆区时自动设置的。

审计账户应仅限于具有审核员(只读)和管理员(完全访问权限)跨账户角色的安全与合规团队,他们可以在 landing zone 中使用所有账户。这些角色旨在供安全与合规团队用于:

  • 通过 AWS 机制(例如托管自定义 AWS Config 规则 Lambda 函数)执行审计。

  • 执行自动安全操作,例如补救措施。

审计账户还通过亚马逊简单通知服务 (Amazon SNS) Service 服务接收通知。可以接收三类通知:

  • 所有配置事件 — 本主题汇总了您的 landing zone 中所有账户的所有 CloudTrail 和 AWS Config 通知。

  • 聚合安全通知-此主题汇总了来自特定 CloudWatch 事件、合 AWS Config 规则 规性状态变更事件和 GuardDuty 发现的所有安全通知。

  • 漂移通知 — 本主题汇总了在您的 landing zone 中的所有账户、用户、OU 和 SCP 中发现的所有漂移警告。有关漂移的更多信息,请参阅在 AWS Control Tower 中检测并解决偏差

在成员账户内触发的审计通知也可以向本地 Amazon SNS 主题发送提醒。此功能允许账户管理员订阅特定于个人成员账户的审计通知。因此,管理员可以解决影响个人账户的问题,同时仍可将所有账户通知汇总到您的集中审计账户。有关更多信息,请参阅 Amazon Simple Notification Service 开发人员指南

有关审计账户中可用角色和资源的更多信息,请参阅审计账户资源

有关编程审计的更多信息,请参阅 AWS Control Tower 审计账户的编程角色和信任关系

重要

您为审计账户提供的电子邮件地址会收到来自 AWS Control Tower 所有 AWS 区域 支持者的AWS 通知-订阅确认电子邮件。要在您的审计账户中接收合规电子邮件,您必须从 AWS Control Tower AWS 区域 支持的每封电子邮件中选择 “确认订阅” 链接。