本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS的组织和账户结构 AWS SRA
| 通过进行简短的调查 |
下图捕捉了的高级结构,AWSSRA但不显示特定的服务。它反映了上一节中讨论的专用账户结构,我们在此处加入了图表,以围绕架构的主要组件进行讨论:
-
图中显示的所有账户都属于一个AWS组织。
-
图的左上角是组织管理账户,用于创建AWS组织。
-
组织管理账户下方是具有两个特定帐户的安全 OU:一个用于安全工具,另一个用于日志存档。
-
右侧是带有网络帐户和共享服务帐户的基础架构 OU。
-
图的底部是工作负载 OU,它与存放企业应用程序的应用程序帐户相关联。
在本指南中,所有账户都被视为在单个AWS地区运营的生产(生产)账户。大多数AWS服务(全球服务除外)都是按区域划分的,这意味着服务的控制平面和数据平面独立存在于每个AWS区域。因此,您必须在计划使用的所有AWS区域中复制此架构,以确保覆盖您的整个AWS格局。如果您在特定AWS区域中没有任何工作负载,则应使用SCPs或使用日志和监控机制禁用该区域。您可以使用 Sec AWS urity Hub 将来自多个AWS区域的发现结果和安全评分汇总到单个聚合区域,以实现集中可见性。
在托管拥有大量账户的AWS组织时,拥有一个便于账户部署和账户管理的协调层是有益的。 AWSControl Tower 提供了一种设置和管理AWS多账户环境的简单方法。GitHub存储库
