组织管理账户

通过进行简短的调查来影响AWS安全参考架构 (AWSSRA) 的未来。

下图说明了在组织管理账户中配置的 AWS 安全服务。

本指南前面的 “使用 AWS Organizations 确保安全” 和 “管理账户、可信访问权限和委托管理员” 部分深入讨论了组织管理账户的目的和安全目标。请遵循组织管理账户的安全最佳实践。其中包括使用由您的企业管理的电子邮件地址、保留正确的管理和安全联系信息（例如，在 AWS 需要联系账户所有者时向账户添加电话号码）、为所有用户启用多因素身份验证 (MFA)，以及定期查看谁有权访问组织管理账户。在组织管理账户中部署的服务应配置适当的角色、信任策略和其他权限，这样这些服务的管理员（必须使用组织管理账户访问这些服务）也不会不当访问其他服务。

服务控制策略

借助 AWS O rganizations，您可以集中管理多个 AWS 账户的策略。例如，您可以将服务控制策略 (SCP) 应用于作为组织成员的多个 AWS 账户。SCP 允许您定义哪些 AWS 服务 API 可以或不能由贵组织的成员 AWS 账户中的 AWS 身份和访问管理 (IAM) 实体（例如 IAM 用户和角色）运行。SCP 是通过组织管理账户创建和应用的，组织管理账户是您在创建组织时使用的 AWS 账户。在本参考文献前面的 “使用 AWS Organizations 确保安全” 部分中阅读有关 SCP 的更多信息。 

如果您使用 AWS Control Tower 来管理您的 AWS 组织，它将部署一组 SCP 作为预防性护栏（分为必修、强烈推荐或选修）。这些护栏通过在组织范围内实施安全控制来帮助您管理资源。这些 SCP 会自动使用值为的 aws-control-tower managed-by-control-tower标签。 

设计考虑

• SCP 仅影响 AWS 组织中的成员账户。尽管它们是从组织管理账户应用的，但它们对该账户中的用户或角色没有影响。要了解 SCP 评估逻辑的工作原理并查看推荐结构的示例，请参阅 AWS 博客文章《如何在 AWS Organizations 中使用服务控制策略》。

IAM Identity Center

AWS IAM 身份中心（AWS Single Sign-On 的继任者）是一项身份联合服务，可帮助您集中管理对所有 AWS 账户、委托人和云工作负载的 SSO 访问权限。IAM Identity Center 还可以帮助您管理对常用的第三方软件即服务 (SaaS) 应用程序的访问和权限。身份提供商使用 SAML 2.0 与 IAM 身份中心集成。批量 just-in-time 配置可以通过使用跨域身份管理系统 (SCIM) 来完成。IAM 身份中心还可以通过使用 AWS Directory Service 作为身份提供商与本地或 AWS 管理的 Microsoft Active Directory (AD) 域集成。IAM Identity Center 包括一个用户门户，您的最终用户可以在其中一处查找和访问他们分配的 AWS 账户、角色、云应用程序和自定义应用程序。

默认情况下，IAM Identity Center 与 AWS Organizations 集成，并在组织管理账户中运行。但是，为了行使最低权限并严格控制对管理账户的访问权限，可以将 IAM Identity Center 的管理委托给特定的成员账户。在 AWS SRA 中，共享服务账户是 IAM 身份中心的委托管理员账户。在 IAM Identity Center 启用委托管理之前，请查看以下注意事项。您可以在共享服务帐户部分找到有关委托的更多信息。即使您启用了委托，IAM Identity Center 仍需要在组织管理账户中运行才能执行某些与 IAM Identity Center 相关的任务，包括管理在组织管理账户中配置的权限集。 

在 IAM Identity Center 控制台中，账户按其封装 OU 显示。这使您能够快速发现自己的 AWS 账户，应用常用权限集，并从中心位置管理访问权限。 

IAM Identity Center 包括一个身份存储，必须存储特定的用户信息。但是，IAM Identity Center 不一定是员工信息的权威来源。如果您的企业已经拥有权威来源，则 IAM Identity Center 支持以下类型的身份提供商 (IdPs)。

• IAM Identity Center 身份存储 — 如果以下两个选项不可用，请选择此选项。在身份存储中创建用户、进行群组分配和分配权限。即使您的权威来源位于 IAM Identity Center 之外，委托人属性的副本也将与身份存储一起存储。

• Microsoft Active Directory (AD) — 如果您想继续管理微软 AWS Directory Active Directory 中的 AWS 目录或活动目录中的自管理目录中的用户，请选择此选项。

• 外部身份提供商- 如果您更喜欢在基于 SAML 的外部第三方 IdP 中管理用户，请选择此选项。

您可以依靠企业中已经存在的现有 IdP。这使得管理多个应用程序和服务的访问权限变得更加容易，因为您可以从一个位置创建、管理和撤消访问权限。例如，如果有人离开您的团队，您可以撤消他们从一个地点对所有应用程序和服务（包括 AWS 账户）的访问权限。这减少了对多个证书的需求，并为您提供了与人力资源 (HR) 流程集成的机会。

设计考虑

• 如果您的企业可以使用外部 IdP 选项，请使用该选项。如果您的 IdP 支持跨域身份管理系统 (SCIM)，请利用 IAM Identity Center 中的 SCIM 功能自动配置用户、群组和权限（同步）。这样，对于新员工、要调到其他团队的员工以及即将离职的员工，AWS 访问权限可以与您的公司工作流程保持同步。在任何给定时间，您只能将一个目录或一个 SAML 2.0 身份提供商连接到 IAM 身份中心。但是，您可以切换到其他身份提供商。

IAM 访问顾问

IAM 访问顾问以您的 AWS 账户和 OU 的服务上次访问信息的形式提供可追溯性数据。使用此侦探控件为最低权限策略做出贡献。对于 IAM 实体，您可以查看两种类型的上次访问信息：允许的 AWS 服务信息和允许的操作信息。此信息包括进行尝试的日期和时间。 

通过组织管理账户中的 IAM 访问权限，您可以查看 AWS 组织中组织管理账户、OU、成员账户或 IAM 政策的上次访问服务数据。此信息可在管理账户的 IAM 控制台中找到，也可以使用 AWS 命令行界面 (AWS CLI) 中的 IAM 访问顾问 API 或编程客户端以编程方式获取。该信息指明组织或账户中的哪些主体上次尝试访问该服务以及尝试访问的时间。上次访问的信息提供了对实际服务使用情况的见解（参见示例场景），因此您可以将 IAM 权限减少到仅限实际使用的服务。

AWS Systems Manager

AWS Systems Manager 的功能是 “快速设置” 和 “资源管理器”，它们都支持 AWS 组织并通过组织管理账户进行操作。 

快速设置是 S ystems Manager 的一项自动化功能。它使组织管理账户能够轻松定义配置，让 Systems Manager 代表您在 AWS 组织中跨账户进行互动。您可以在整个 AWS 组织中启用快速设置，也可以选择特定的 OU。快速设置可以安排 AWS Systems Manager 代理（SSM 代理）每两周在您的 EC2 实例上运行一次更新，并且可以设置对这些实例的每日扫描以识别缺失的补丁。 

Explorer 是一个可自定义的操作控制面板，用于报告有关您的 AWS 资源的信息。Explorer 显示您的 AWS 账户和各个 AWS 区域的运营数据的汇总视图。这包括有关您的 EC2 实例的数据和补丁合规性详细信息。在 AWS Organizations 中完成集成设置（其中还包括 Systems Manager OpsCenter）后，您可以按 OU 在 Explorer 中聚合数据，也可以聚合整个 AWS 组织的数据。Systems Manager 会将数据聚合到 AWS 组织管理账户中，然后再将其显示在 Explorer 中。

本指南后面的 “工作负载 OU” 部分讨论了在应用程序账户中的 EC2 实例上使用 Systems Manager 代理（SSM 代理）的情况。

AWS Control Tower

AWS Control Tower 提供了一种设置和管理安全的多账户 AWS 环境（称为着陆区）的简单方法。AWS Control Tower 使用 AWS Organizations 创建您的着陆区，并提供持续的账户管理和治理以及实施最佳实践。您可以使用 AWS Control Tower 通过几个步骤配置新账户，同时确保账户符合您的组织政策。您甚至可以将现有账户添加到新的 AWS Control Tower 环境中。 

AWS Control Tower 具有一系列广泛而灵活的功能。一项关键功能是它能够协调其他几个 AWS 服务的能力，包括 AWS Organizations、AWS Service Catalog 和 IAM Identity Center，以建立着陆区。例如，默认情况下，AWS Control Tower 使用 AWS CloudFormation 来建立基准，使用 AWS Organizations 服务控制策略 (SCP) 来防止配置更改，使用 AWS Config 规则来持续检测不合规行为。AWS Control Tower 采用蓝图，可帮助您快速调整多账户 AWS 环境与 A WS 架构完善的安全基础设计原则。在监管功能中，AWS Control Tower 提供的防护栏可防止部署不符合所选策略的资源。 

您可以使用 AWS Control Tower 开始实施 AWS SRA 指南。例如，AWS Control Tower 使用推荐的多账户架构建立了一个 AWS 组织。它提供了蓝图，用于提供身份管理、提供账户联合访问权限、集中日志记录、建立跨账户安全审计、定义配置新账户的工作流程，以及使用网络配置实施账户基准。 

在 AWS SRA 中，AWS Control Tower 位于组织管理账户中，因为 AWS Control Tower 使用该账户自动建立 AWS 组织并将该账户指定为管理账户。此账户用于在整个 AWS 组织中进行账单。它还用于 Account Factory 配置账户、管理 OU 和管理护栏。如果您在现有 AWS 组织中启动 AWS Control Tower，则可以使用现有的管理账户。AWS Control Tower 将使用该账户作为指定的管理账户。

设计考虑

• 如果您想对账户中的控制和配置进行额外的基准化，则可以使用 AWS Control Tower 的自定义 (cfcT)。使用 cfcT，您可以使用 AWS CloudFormation 模板和服务控制策略 (SCP) 自定义 AWS Control Tower 着陆区。您可以将自定义模板和策略部署到组织内的个人账户和 OU。cfcT 与 AWS Control Tower 生命周期事件集成，可确保资源部署与您的着陆区保持同步。 

AWS Artical

AWS Artifac t 提供按需访问 AWS 安全与合规报告以及精选在线协议的权限。AWS Artifact 中提供的报告包括系统和组织控制 (SOC) 报告、支付卡行业 (PCI) 报告，以及来自不同地区和合规垂直行业的认证机构的认证，这些认证旨在验证 AWS 安全控制的实施和运营效率。AWS Artifact 通过提高安全控制环境的透明度，帮助您对 AWS 进行尽职调查。它还允许您通过即时访问新报告来持续监控 AWS 的安全和合规性。 

AWS Artifact 协议使您能够查看、接受和跟踪 AWS 协议的状态，例如个人账户和属于您组织的 AWS Organizations 账户的商业伙伴附录 (BAA)。 

您可以将 AWS 审计项目提供给您的审计师或监管机构，作为 AWS 安全控制的证据。您还可以使用某些 AWS 审计项目提供的责任指南来设计您的云架构。本指南有助于确定您可以采取哪些其他安全控制措施来支持系统的特定用例。 

AWS Artifacts 托管在组织管理账户中，为您提供一个中心位置，供您查看、接受和管理与 AWS 达成的协议。这是因为管理账户接受的协议会向下流向成员账户。 

设计考虑

• 应限制组织管理账户中的用户只能使用 AWS Artifact 的协议功能，不得使用其他任何功能。为了实现职责分离，AWS Artifact 还托管在安全工具账户中，您可以将访问审计项目的权限委托给您的合规利益相关者和外部审计员。您可以通过定义精细的 IAM 权限策略来实现这种分离。有关示例，请参阅 AWS 文档中的 IA M 策略示例。

分布式和集中式安全服务护栏

在 AWS SRA 中，AWS Security Hub、Amazon GuardDuty、AWS Config、IAM Access Analyzer、AWS CloudTrail 组织跟踪以及 Amazon Macie 通常都部署了适当的委托管理或聚合到安全工具账户。这可以实现跨账户的一套一致的护栏，还可以为您的 AWS 组织提供集中式监控、管理和治理。您可以在 AWS SRA 中代表的每种账户类型中找到这组服务。这些应该是 AWS 服务的一部分，这些服务必须作为账户注册和基准制定流程的一部分进行配置。GitHub代码存储库提供了在您的账户（包括 AWS 组织管理账户）中实施以安全为重点的 AWS 服务的示例。 

除了这些服务外，AWS SRA 还包括两项以安全为重点的服务，即 Amazon Detective 和 AWS Audit Manager，它们支持 AWS Organizations 中的集成和委托管理员功能。但是，这些不包括在账户基准的推荐服务中。我们已经看到，这些服务最适合在以下场景中使用：

• 您有一个专门的团队或一组资源来执行这些数字取证和 IT 审计职能。Amazon Detective 最适合安全分析团队使用，而 AWS Audit Manager 对您的内部审计或合规团队很有帮助。

• 您希望在项目开始时专注于一组核心工具，例如 GuardDuty 和 Security Hub，然后使用提供额外功能的服务在这些工具的基础上再接再厉。