本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS SRA 的 AWS 組織和帳戶結構
| 通過進行簡短的調查 |
下圖擷取 AWS SRA 的高階結構,但不顯示特定服務。它反映了上一節中討論的專用帳戶結構,我們在這裡包括圖表,以便圍繞架構的主要組件進行討論:
-
圖表中顯示的所有帳戶都是單一 AWS 組織的一部分。
-
圖表的左上角是用來建立 AWS 組織的組織管理帳戶。
-
組織管理帳戶下方是具有兩個特定帳戶的安全性 OU:一個用於安全性工具,另一個用於記錄存檔。
-
右邊是具有網路帳戶和共用服務帳戶的基礎結構 OU。
-
圖表底部是工作負載 OU,它與容納企業應用程式的應用程式帳戶相關聯。
對於本指導,所有帳戶都被視為在單一 AWS 區域中運作的生產 (prod) 帳戶。大多數 AWS 服務 (全球服務除外) 都是以區域範圍設定的,這表示服務的控制和資料平面獨立存在於每個 AWS 區域中。因此,您必須在計劃使用的所有 AWS 區域複寫此架構,以確保整個 AWS 環境的涵蓋範圍。如果特定 AWS 區域中沒有任何工作負載,則應使用 SCP 或使用記錄和監控機制來停用該區域。您可以使用 AWS Security Hub 將來自多個 AWS 區域的發現和安全分數彙總到單一彙總區域,以便集中掌握。
在託管擁有大量帳戶的 AWS 組織時,擁有可促進帳戶部署和帳戶管理的協調流程層是有益的。AWS Control Tower 提供簡單的方式來設定和管理 AWS 多帳戶環境。GitHub儲存庫
