案例和架構概觀

政府機構在 中有三個工作負載 AWS 雲端：

• 使用 Amazon Simple Storage Service (Amazon S3) 進行儲存和 AWS Lambda 擷取、轉換和載入 (ETL) 操作的無伺服器資料湖

• 在 Amazon Elastic Container Service (Amazon ECS) 上執行並使用 Amazon Relational Database Service (Amazon RDS) 中資料庫的容器化 Web 服務

• 在 Amazon EC2 上執行的商業off-the-shelf(COTS) 軟體

雲端團隊為組織提供集中式平台，為 AWS 環境執行核心服務。雲端團隊提供 AWS 環境的核心服務。每個工作負載都由不同的應用程式團隊擁有，也稱為開發人員團隊或交付團隊。

核心架構

雲端團隊已在 中建立下列功能 AWS 雲端：

• 聯合身分 AWS IAM Identity Center 連結至其 Microsoft Entra ID （先前為 Azure Active Directory) 執行個體。聯合會透過 AWS Identity and Access Management (IAM) 角色強制執行 MFA、使用者帳戶的自動過期，以及短期憑證的使用。

• 集中式 AMI 管道用於使用 EC2 Image Builder OSs和核心應用程式。

• Amazon Inspector 已啟用以識別漏洞，所有安全調查結果都會傳送至 Amazon GuardDuty 進行集中管理。

• 建立的機制用於更新應用程式控制規則、回應網路安全事件，以及檢閱合規差距。

• AWS CloudTrail 用於記錄和監控。

• 安全事件，例如根使用者的登入，會啟動提醒。

• SCPs和 VPC 端點政策會 AWS 為您的環境建立資料周邊。

• SCPs可防止應用程式團隊停用安全性和記錄服務，例如 CloudTrail 和 AWS Config。

• AWS Config 調查結果會從整個 AWS 組織彙總到單一 ， AWS 帳戶 以確保安全。

• AWS 帳戶 ACS AWS Config C Essential 8 一致性套件在您的組織中已啟用。