本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 组织结构和 AWS SRA 的账户结构
| 通过进行简短的调查 |
下图捕捉了 AWS SRA 的高级结构,但未显示特定的服务。它反映了上一节中讨论的专用账户结构,我们在此处加入了图表,以围绕架构的主要组件进行讨论:
-
图中显示的所有账户均属于单个 AWS 组织。
-
图的左上角是组织管理账户,用于创建 AWS 组织。
-
组织管理账户下方是具有两个特定帐户的安全 OU:一个用于安全工具,另一个用于日志存档。
-
右侧是带有网络帐户和共享服务帐户的基础架构 OU。
-
图的底部是工作负载 OU,它与存放企业应用程序的应用程序帐户相关联。
在本指南中,所有账户均被视为在单个 AWS 区域运营的生产(生产)账户。大多数 AWS 服务(全球服务除外)都是按区域划分的,这意味着该服务的控制平面和数据平面独立存在于每个 AWS 区域。因此,您必须在计划使用的所有 AWS 区域中复制此架构,以确保覆盖您的整个 AWS 格局。如果您在特定 AWS 区域中没有任何工作负载,则应使用 SCP 或使用日志和监控机制禁用该区域。您可以使用 AWS Security Hub 将多个 AWS 区域的调查结果和安全评分汇总到单个聚合区域,以实现集中可见性。
在托管拥有大量账户的 AWS 组织时,拥有便于账户部署和账户管理的编排层是有益的。AWS Control Tower 提供了一种设置和管理 AWS 多账户环境的简单方法。GitHub存储库
