術語 - AWS Control Tower

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

術語

以下是您在 AWS Control Tower 文件中看到的一些術語的快速回顧。

首先,很高興知道 AWS Control Tower 與 AWS Organizations 服務分享了許多術語,包括本文件中出現的和組織單位 (OU) 術語。

  • 如需有關組織和 OU 的詳細資訊,請參閱AWS Organizations 術語和概念。如果您是 AWS Control Tower 的新手,那麼該術語就是開始的好地方。

  •  AWS Organizations是一項 AWS 服務,可協助您集中控管環境,隨著您的工作負載擴充和擴展 AWS。AWS Control Tower 仰賴 AWS Organizations 建立帳戶、在 OU 層級強制執行預防控制,以及提供集中式帳單。

  • AWS Account Factory 帳戶是使用 AWS Control Tower 中的 Account Factory 佈建的帳戶。 AWS 有時,Account Factory 被非正式地稱為帳戶的「自動售貨機」。

  • 您的 AWS Control Tower 本 AWS 區域是部署 AWS Control Tower landing zone 域的區域。您可以在 landing zone 設定中檢視您的居住區域。

  • AWS Service Catalog可讓您集中管理常用部署的 IT 服務。在本文件的內容中,Account Factory 會使 AWS Service Catalog 用佈建新 AWS 帳戶,包括自訂藍圖中的帳戶。

  • AWS CloudFormation StackSets是一種可擴充堆疊功能的資源,讓您可以透過單一作業和單一 CloudFormation範本,跨多個帳號和區域建立、更新或刪除堆疊。

  • 棧實例是對區域內目標帳戶中堆棧的引用。

  • 堆疊是您可以作為單一單元來管理的 AWS 資源集合。

  • 彙總器是一種 AWS Config 資源類型,可從組織內的多個帳戶和區域收集組 AWS Config 態和符合性資料,可讓您在單一帳戶內檢視和查詢此符合性資料。

  • 符合性套件是 AWS Config 規則和修正動作的集合,可部署為帳戶和區域中的單一實體,或在中的組織中部署。 AWS Organizations您可以使用一致性套件協助自訂 AWS Control Tower 環境。如需提供更多詳細資訊的技術部落格,請參閱相關資訊

  • AWS Control Tower 中的基準是一組可套用至目標的資源和特定組態。最常見的基準目標可能是組織單位 (OU)。例如,呼叫AWSControlTowerBaseline的基準可協助您向 AWS Control Tower 註冊 OU。在 landing zone 設定和更新期間,基準目標可能是共用帳戶,也可以是整個 landing zone 域的特定設定。

  • 藍圖:藍圖是封裝某些中繼資料的成品,用於描述帳戶中部署的基礎結構元件。例如, AWS CloudFormation 範本可以做為 AWS Control Tower 帳戶的藍圖。

  • 漂移:由 AWS Control Tower 安裝和設定的資源變更。沒有漂移的資源可讓 AWS Control Tower 正常運作。

  • 不相容的資源:違反定義特定偵測控制 AWS Config 項之規則的資源。

  • 共用帳戶:AWS Control Tower 在您設定 landing zone 時自動建立的三個帳戶之一:管理帳戶、記錄存檔帳戶和稽核帳戶。您可以在安裝期間為記錄封存帳戶和稽核帳戶選擇自訂名稱。

  • 成員帳戶:成員帳戶屬於 AWS Control Tower 組織。成員帳戶可以在 AWS Control Tower 或取消註冊。當註冊的 OU 包含已註冊和未註冊帳戶的混合時:

    • 在 OU 上啟用的預防性控制適用於其中的所有帳戶,包括未註冊的帳戶。這是因為預防性控制是在 OU 層級 (而不是帳戶層級) 使用 SCP 強制執行的。如需詳細資訊,請參閱 AWS Organizations 文件中的服務控制原則的繼承

    • 在 OU 上啟用的 Detective 控制項不會套用至未註冊的帳戶。

    一個帳戶一次只能是一個組織的成員,其費用會計入該組織的管理帳戶中。成員帳戶可以移至組織的根容器。

  • AWS account: AWS 帳號充當資源容器和資源隔離邊界。 AWS 帳戶可以與帳單和付款相關聯。 AWS 帳戶與 AWS Control Tower 中的使用者帳戶 (有時稱為 IAM 使用者帳戶) 不同。透過 Account Factory 佈建程序建立的帳戶是 AWS 帳戶。 AWS 您也可以透過帳戶註冊或 OU 註冊程序,將帳戶新增至 AWS Control Tower。

  • 控制:控制項 (也稱為護欄) 是一項高階規則,可為您的整體 AWS Control Tower 環境提供持續的管控。每個控制項都會強制執行單一規則。使用 SCP 來實作預防性控制。Detective 控制項是透過 AWS Config 規則來實作。主動控制是通過 AWS CloudFormation 鉤子實現的。如需詳細資訊,請參閱 控制項如何運作

  • landing zone 域:著陸區域是一種雲端環境,提供建議的起點,包括預設帳戶、帳戶結構、網路和安全性配置等。從 landing zone,您可以部署利用您的解決方案和應用程式的工作負載。

  • 巢狀 OU:AWS Control Tower 中的巢狀 OU 是另一個 OU 中包含的 OU。巢狀 OU 只能有一個父 OU,而且每個帳戶只能是一個 OU 的成員。巢狀 OU 會建立階層。當您將原則附加至階層中的其中一個 OU 時,它會向下流動並影響其下的所有 OU 和帳戶。AWS Control Tower 中的巢狀 OU 階層最多可以有五個層級的深度。

  • 父 OU:階層中目前 OU 正上方的 OU。每個 OU 只能有一個父 OU。

  • 子系 OU:階層中目前 OU 之下的任何 OU。一個 OU 可以有許多子 OU。

  • OU 階層:在 AWS Control Tower 中,巢狀 OU 的階層最多可有五個層級。巢狀的順序稱為「層級」。階層的頂端會指定為「層級 1」。

  • 頂層 OU:頂層 OU 是直接位於根目錄下的任何 OU,而不是根本身。根目錄不被視為 OU。