本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 安全參考架構 (AWS SRA) – 核心架構
Global Services 安全團隊、Amazon Web Services (參與者)
2025 年 12 月 (文件歷史記錄)
| 進行簡短的問卷 |
Amazon Web Services (AWS) 安全參考架構 (AWS SRA) 是在多帳戶環境中部署 AWS 安全服務完整補充的完整準則。使用它來協助設計、實作和管理 AWS 安全服務,使其符合 AWS 建議的實務。這些建議是以包含 AWS 安全服務的單頁架構為基礎建置,它們如何協助實現安全目標、在其中部署和管理它們的最佳方式 AWS 帳戶,以及它們如何與其他安全服務互動。此整體架構指引補充了詳細的服務特定建議,例如在 AWS 安全文件網站上找到的建議。
架構和隨附的建議是以我們對 AWS 企業客戶的集體體驗為基礎。本文件是參考,這是一組使用 AWS 服務 保護特定環境的全方位指引,而 AWS SRA 程式碼儲存庫中的解決方案模式是專為本參考中說明的特定架構所設計。每個客戶都有不同的需求。因此,您 AWS 環境的設計可能與此處提供的範例不同。您需要修改和量身打造這些建議,以符合您的個別環境和安全需求。在適當情況下,我們會針對經常看到的替代案例建議選項。
AWS SRA 是一組活體指引,會根據新服務和功能版本、客戶意見回饋以及不斷變化的威脅態勢定期更新。每次更新都會包含修訂日期和相關聯的變更日誌。
雖然我們依賴單頁圖表作為基礎,但架構比單一區塊圖表更深,而且必須建立在結構良好的基礎基礎上。您可以透過兩種方式使用此文件:做為敘述或參考。主題會組織為故事,因此您可以從開頭 (基礎安全指導) 到結尾 (您可以實作的程式碼範例討論) 閱讀主題。或者,您可以導覽文件,以專注於與您的需求最相關的安全原則、服務、帳戶類型、指導和範例。
本文件分為以下章節和附錄:
-
關於 AWS SRA 程式庫提供 AWS SRA 出版物集合中包含的技術指導和程式碼概觀。
-
AWS SRA 的值會討論建置 AWS SRA 的動機、說明如何使用它來協助改善安全性,並列出關鍵要點。
-
安全基礎會檢閱 AWS 雲端採用架構 (AWS CAF)、 AWS Well-Architected 架構和 AWS 共同責任模型,並反白顯示與 AWS SRA 特別相關的元素。
-
AWS Organizations、 帳戶和 IAM 護欄介紹 AWS Organizations 服務、討論基本安全功能和護欄,並提供建議的多帳戶策略概觀。
-
AWS 安全參考架構是單頁架構圖,顯示功能 AWS 帳戶,以及一般可用的安全服務和功能。
-
安全 AI/ML 說明不同的 如何在背景 AWS 服務 中使用人工智慧和機器學習 (AI/ML),以協助您實現特定的安全目標。您可以在設計 AWS 服務 中包含這些項目,以利用進階安全功能。
-
建置您的安全架構 ‒ 分階段方法根據 SRA 提供的 AWS 參考,提供如何以六個反覆階段建置自己的安全架構的指導。
-
AWS SRA 最佳實務檢查清單會將本指南中討論的建議分割成檢查清單,供您在建置安全架構版本時遵循。
-
IAM 資源提供對安全架構至關重要的 AWS Identity and Access Management (IAM) 指引摘要和一組指標。
-
AWS SRA 的程式碼儲存庫範例提供相關 GitHub 儲存庫
的概觀,可協助開發人員和工程師部署本文件中呈現的一些指導和架構模式。您可以使用 AWS CloudFormation 或 HashiCorp 的 Terraform 部署範例。它們同時支援 AWS Control Tower 和非AWS Control Tower 環境。
附錄包含個別 AWS 安全性、身分和合規服務的清單,並提供每個服務的詳細資訊連結。文件歷史記錄區段提供用於追蹤本文件版本的變更日誌。您也可以訂閱 RSS 摘要以取得變更通知。
