场景和架构概述

政府机构有三个工作量 AWS Cloud：

• 使用亚马逊简单存储服务 (Amazon S3) 进行存储以及提取、转换 AWS Lambda 和加载 (ETL) 操作的无服务器数据湖

• 一种在亚马逊弹性容器服务 (Amazon ECS) Service 上运行并使用亚马逊关系数据库服务 (Amazon RDS) 中的数据库的容器化网络服务 (Amazon RDS)

• 在亚马逊上运行的商用 off-the-shelf (COTS) 软件 EC2

云团队为组织提供集中式平台，为 AWS 环境运行核心服务。云团队为 AWS 环境提供核心服务。每个工作负载都由不同的应用程序团队拥有，也称为开发团队或交付团队。

核心架构

云团队已经在中建立了以下功能 AWS Cloud：

• 身份联盟链接 AWS IAM Identity Center 到他们的 Microsoft Entra ID（以前称为 Azure 活动目录）实例。联合会强制执行 MFA、用户账户自动到期以及 AWS Identity and Access Management 通过 (IAM) 角色使用短期证书。

• 集中式 AMI 管道用于通过 Im EC2 age Builder 对应用程序进行修补 OSs 和核心化。

• Amazon Inspector 可以识别漏洞，并将所有安全发现发送到亚马逊 GuardDuty 进行集中管理。

• 已建立的机制用于更新应用程序控制规则、响应网络安全事件和审查合规漏洞。

• AWS CloudTrail 用于记录和监控。

• 安全事件（例如 root 用户登录）会启动警报。

• SCPs 而且 VPC 终端节点策略会为您的 AWS 环境建立数据边界。

• SCPs 防止应用程序团队禁用安全和日志服务，例如 CloudTrail 和 AWS Config。

• AWS Config AWS 账户 为了安全起见，将整个 AWS 组织的调查结果汇总成一个单一的调查结果。

• AWS Config ACSC Essential 8 一致性包已 AWS 账户 在您的组织中启用。