術語 - AWS Control Tower

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

術語

以下是您將在 AWS Control Tower 文件中找到的一些術語的快速檢閱。

首先,最好知道 AWS Control Tower 與 AWS Organizations 服務共用許多術語,包括在本文件中出現的 組織組織單位 (OU) 一詞。

  • 如需組織和 OUs 的詳細資訊,請參閱AWS Organizations 術語和概念。如果您是 AWS Control Tower 的新手,該術語是一個很好的開始。

  •  AWS Organizations 是一項 AWS 服務,可協助您在工作負載成長和擴展時集中管理環境 AWS。AWS Control Tower 依賴 AWS Organizations 來建立帳戶、在 OU 層級強制執行預防性控制,以及提供集中式帳單。

  • AWS Account Factory 帳戶是使用 AWS Control Tower 中的 Account Factory 佈建 AWS 的帳戶。有時候,帳戶工廠會以非正式方式稱為帳戶的「自動販賣機」。

  • 您的 AWS Control Tower 主區域是 AWS 部署 AWS Control Tower 登陸區域的區域。您可以在登陸區域設定中檢視您的主區域。

  • AWS Service Catalog 可讓您集中管理經常部署的 IT 服務。在本文件的內容中,Account Factory 會使用 AWS Service Catalog 來佈建新 AWS 帳戶,包括自訂藍圖中的帳戶。

  • AWS CloudFormation StackSets 是延伸堆疊功能的一種資源,可讓您使用單一操作和單一 CloudFormation 範本,跨多個帳戶和區域建立、更新或刪除堆疊。

  • Astack 執行個體是區域內目標帳戶中堆疊的參考。

  • Astackis 是您可以單一單位管理的一組 AWS 資源。

  • 彙整工具是一種 AWS Config 資源類型,可從組織內的多個帳戶和區域收集 AWS Config 組態和合規資料,可讓您在單一帳戶中檢視和查詢此合規資料。

  • 一致性套件是 AWS Config 規則和修補動作的集合,可部署為帳戶和區域中的單一實體,或 中的整個組織 AWS Organizations。您可以使用一致性套件來協助自訂 AWS Control Tower 環境。如需提供更多詳細資訊的技術部落格,請參閱相關資訊

  • AWS Control Tower 中的基準是一組資源和特定組態,您可以套用至目標。最常見的基準目標可能是組織單位 (OU)。例如,名為 的基準AWSControlTowerBaseline可用於協助向 AWS Control Tower 註冊您的 OUs。在登陸區域設定和更新期間,基準目標可能是共用帳戶,或整個登陸區域的特定設定。

  • 藍圖:藍圖是封裝一些中繼資料的成品,描述在帳戶中部署的基礎設施元件。例如, AWS CloudFormation 範本可以做為 AWS Control Tower 帳戶的藍圖。

  • 偏離:由 AWS Control Tower 安裝和設定的資源變更。沒有偏離的資源可讓 AWS Control Tower 正常運作。

  • 不合規資源:違反規則的資源,該 AWS Config 規則會定義特定的偵測控制。

  • 共用帳戶:設定登陸區域時,AWS Control Tower 自動建立的三個帳戶之一:管理帳戶、日誌封存帳戶和稽核帳戶。您可以在設定期間選擇日誌封存帳戶和稽核帳戶的自訂名稱。

  • 成員帳戶:成員帳戶屬於 AWS Control Tower 組織。您可以在 AWS Control Tower 中註冊或取消註冊成員帳戶。當註冊的 OU 包含已註冊和未註冊帳戶的混合時:

    • 在 OU 上啟用的預防性控制適用於其中的所有帳戶,包括未註冊的帳戶。這是因為預防性控制是在 OU 層級使用 SCPs 強制執行,而不是帳戶層級。如需詳細資訊,請參閱 文件中的 AWS Organizations 服務控制政策繼承

    • 在 OU 上啟用的偵測控制不適用於未註冊的帳戶。

    帳戶一次只能是一個組織的成員,其費用會計入該組織的管理帳戶。成員帳戶可以移至組織的根容器。

  • AWS 帳戶: AWS 帳戶充當資源容器和資源隔離界限。 AWS 帳戶可以與帳單和付款相關聯。 AWS 帳戶與 AWS Control Tower 中的使用者帳戶 (有時稱為 IAM 使用者帳戶) 不同。透過 Account Factory 佈建程序建立的帳戶為 AWS Account. AWS accounts。您也可以透過帳戶註冊或 OU 註冊程序,將帳戶新增至 AWS Control Tower。

  • 控制:控制 (也稱為護欄) 是高階規則,可為您的整體 AWS Control Tower 環境提供持續的控管。每個控制項都會強制執行單一規則。預防性控制是使用 SCPs。Detective 控制項是使用 AWS Config 規則實作。主動控制會使用 AWS CloudFormation 勾點實作。如需詳細資訊,請參閱控制的運作方式

  • 登陸區域:登陸區域是提供建議起點的雲端環境,包括預設帳戶、帳戶結構、網路和安全配置等。從登陸區域,您可以部署利用解決方案和應用程式的工作負載。

  • 巢狀 OU:AWS Control Tower 中的巢狀 OU 是包含在另一個 OU 中的 OU。巢狀 OU 可以只有一個父系 OU,而且每個帳戶可以是一個 OU 的成員。巢狀 OUs會建立階層。當您將政策連接到階層中的其中一個 OUs 時,政策會向下流動,並影響其下的所有 OUs和帳戶。AWS Control Tower 中的巢狀 OU 階層最多可深 5 個層級。

  • 父 OU:OU 緊接在階層中目前 OU 的上方。每個 OU 只能有一個父 OU。

  • 子 OU:階層中低於目前 OU 的任何 OU。OU 可以有許多子 OUs。

  • OU 階層:在 AWS Control Tower 中,巢狀 OUs 的階層最多可以有五個層級。巢狀的順序稱為關卡。階層的頂端會指定為層級 1

  • 最上層 OU:最上層 OU 是直接在根下的任何 OU,而不是根本身。根不會被視為 OU。

  • 受管:受管區域由 AWS Control Tower 根據您的組織設定的控管政策,在您的環境中管理和控制。這些 AWS 區域 都會受到監控,以遵守最佳實務和組織政策。當您啟用 AWS Control Tower 控制項時,這些區域中的資源會受到保護。

  • 未受管:顯示未受管狀態的區域不受 AWS Control Tower 控制或監控。這些政策 AWS 區域 通常不遵守 AWS Control Tower 強制執行的相同控管政策。您可以在這些區域中建立資源,但這些資源不受 AWS Control Tower 控制項保護。

  • 拒絕:AWS Control Tower 特別封鎖拒絕的區域。在 AWS Control Tower 環境中,您無法在這些 中佈建資源 AWS 區域。