什麼是 AWS Control Tower? - AWS Control Tower
功能AWS Control Tower 如何與其他 AWS 服務互動您是 AWS Control Tower 的初次使用者嗎?

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

什麼是 AWS Control Tower?

AWS Control Tower 提供一種簡單的方式,可依照規範最佳實務來設定和管理 AWS 多帳戶環境。AWS Control Tower 會協調數個其他服務的功能AWS,包括 AWS Service Catalog AWS Organizations、 和 AWS IAM Identity Center,以在不到一小時的時間內建置登陸區域。資源會代表您設定和管理。

AWS Control Tower 協調擴展 的功能 AWS Organizations。為了協助避免您的組織和帳戶偏離,這與最佳實務不同,AWS Control Tower 會套用控制項 (有時稱為護欄)。例如,您可以使用控制項來協助確保安全日誌和必要的跨帳戶存取許可已建立,而不會變更。

如果您託管的帳戶超過少數,則擁有協調層有助於帳戶部署和帳戶控管。您可以採用 AWS Control Tower 做為佈建帳戶和基礎設施的主要方式。透過 AWS Control Tower,您可以更輕鬆地遵守公司標準、符合法規要求,並遵循最佳實務。

AWS Control Tower 可讓分散式團隊中的最終使用者透過 AWS Account Factory 中的可設定帳戶範本快速佈建新帳戶。同時,您的中央雲端管理員可以監控所有帳戶是否都符合已制定的全公司合規政策。

簡而言之,AWS Control Tower 提供最簡單的方式,根據與數千家企業合作所建立的最佳實務來設定和管理安全、合規的多帳戶 AWS 環境。如需使用 AWS Control Tower 和 AWS 多帳戶策略中概述的最佳實務的詳細資訊,請參閱 AWS 多帳戶策略:最佳實務指引

功能

AWS Control Tower 具有下列功能:

  • 登陸區域 – 登陸區域是架構良好的多帳戶環境,以安全和合規最佳實務為基礎。這是整個企業的容器,可存放所有組織單位 (OUs)、帳戶、使用者,以及您希望遵守合規法規的其他資源。登陸區域可以擴展至符合任何大小企業的需求。

  • 控制項 – 控制項 (有時稱為護欄) 是高階規則,可為您的整體 AWS 環境提供持續的控管。其表示的方式是普通語言。有三種類型的控制:預防性偵測性和主動性。三類指引適用於控制項:強制性強烈建議選擇性。如需控制項的詳細資訊,請參閱 控制的運作方式

  • Account Factory – Account Factory 是可設定的帳戶範本,有助於使用預先核准的帳戶組態標準化新帳戶的佈建。AWS Control Tower 提供內建的 Account Factory,可協助自動化組織中的帳戶佈建工作流程。如需詳細資訊,請參閱使用 Account Factory 佈建和管理帳戶

  • 儀表板 – 儀表板會為您的中央雲端管理員團隊持續監控您的登陸區域。使用儀表板來查看整個企業的佈建帳戶、啟用政策強制執行的控制項、啟用政策不合規的持續偵測控制項,以及由帳戶和 OUs 組織的不合規資源。

AWS Control Tower 建置在信任且可靠的 AWS 服務之上 AWS Service Catalog,包括 AWS IAM Identity Center和 AWS Organizations。如需詳細資訊,請參閱整合服務

您可以將 AWS Control Tower 與其他 AWS 服務整合到 解決方案中,以協助您將現有工作負載遷移至 AWS。如需詳細資訊,請參閱如何利用 AWS Control Tower 和 CloudEndure 將工作負載遷移至 AWS

組態、管理和可擴展性

  • 自動化帳戶組態:AWS Control Tower 會透過 Account Factory (或「自動販賣機」) 自動執行帳戶部署和註冊,其建置為佈建產品上的抽象 AWS Service Catalog。Account Factory 可以建立和註冊 AWS 帳戶,並自動將控制項和政策套用至這些帳戶的程序。

  • 集中式控管:透過使用 的功能 AWS Organizations,AWS Control Tower 會設定架構,確保跨多帳戶環境的一致性合規和管理。 AWS Organizations 此服務提供管理多帳戶環境的必要功能,包括帳戶的集中管理和管理、API AWS Organizations APIs 的帳戶建立,以及服務控制政策 SCPs)。

  • 可擴展性:您可以透過直接在 中 AWS Organizations工作,以及在 AWS Control Tower 主控台中建立或擴展您自己的 AWS Control Tower 環境。您可以在註冊現有組織並將現有帳戶註冊到 AWS Control Tower 之後,看到 AWS Control Tower 中反映的變更。您可以更新 AWS Control Tower 登陸區域,以反映您的變更。如果您的工作負載需要進一步的進階功能,您可以利用其他 AWS 合作夥伴解決方案搭配 AWS Control Tower。

您是 AWS Control Tower 的初次使用者嗎?

若您是第一次使用此服務,我們建議您閱讀以下內容:

  1. 如果您需要如何規劃和組織登陸區域的詳細資訊,請參閱 規劃您的 AWS Control Tower 登陸區域AWS AWS Control Tower 登陸區域的多帳戶策略

  2. 若您已準備好建立第一個登陸區,請參閱AWS Control Tower 入門

  3. 如需漂移偵測和預防的資訊,請參閱偵測並解決 AWS Control Tower 中的偏離

  4. 如需安全詳細資訊,請參閱AWS Control Tower 中的安全

  5. 如需更新您的登陸區域和成員帳戶的資訊,請參閱AWS Control Tower 中的組態更新管理