本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 组织结构和 AWS SRA 的账户结构
| 通过进行简短的调查 |
下图捕捉了 AWS SRA 的高级结构,但未显示特定的服务。它反映了上一节中讨论的专用账户结构,我们在此处加入了图表,以围绕架构的主要组件进行讨论:
-
图中显示的所有账户均属于单个 AWS 组织。
-
图的左上角是组织管理账户,用于创建 AWS 组织。
-
组织管理账户下方是具有两个特定帐户的安全 OU:一个用于安全工具,另一个用于日志存档。
-
右侧是带有网络帐户和共享服务帐户的基础架构 OU。
-
图的底部是工作负载 OU,它与存放企业应用程序的应用程序帐户相关联。
在本指南中,所有账户均被视为在单个 AWS 区域运营的生产(生产)账户。大多数 AWS 服务(全球服务除外)都是按区域划分的,这意味着该服务的控制平面和数据平面独立存在于每个 AWS 区域。因此,您必须在计划使用的所有 AWS 区域中复制此架构,以确保覆盖您的整个 AWS 格局。如果您在特定 AWS 区域中没有任何工作负载,则应使用SCPs或使用日志和监控机制禁用该区域。您可以使用 AWS Security Hub 将多个 AWS 区域的调查结果和安全评分汇总到单个聚合区域,以实现集中可见性。
在托管拥有大量账户的 AWS 组织时,拥有便于账户部署和账户管理的编排层是有益的。AWS Control Tower 提供了一种设置和管理 AWS 多账户环境的简单方法。GitHub存储库
