組織管理帳戶

通過進行簡短的調查來影響AWS安全參考架構（AWSSRA）的 future。

下圖說明組織管理帳戶中設定的 AWS 安全服務。

本指南前面的 ＜ 使用 AWS Organizations 實現安全性 ＞ 和管理帳戶、受信任的存取權限和委派管理員各節深入討論了組織管理帳戶的目的和安全目標。請遵循組織管理帳戶的安全性最佳做法。其中包括使用由您的企業管理的電子郵件地址、維護正確的管理和安全聯絡資訊 (例如，在 AWS 需要聯絡帳戶擁有者時，將電話號碼附加到帳戶)、為所有使用者啟用多因素身份驗證 (MFA)，以及定期檢閱有權存取組織管理帳戶的人員。在組織管理帳戶中部署的服務應設定適當的角色、信任原則及其他權限，這樣這些服務的管理員 (必須在組織管理帳戶中存取這些服務的人員) 也無法不適當地存取其他服務。

服務控制政策

使用 AWS Organizations，您可以集中管理多個 AWS 帳戶的政策。例如，您可以將服務控制政策 (SCP) 套用至多個屬於組織成員的 AWS 帳戶。SCP 可讓您定義哪些 AWS 服務 API 可以在組織的成員 AWS 帳戶中由 AWS Identity and Access Management (IAM) 實體 (例如 IAM 使用者和角色) 執行，也可以執行哪些 AWS 服務 API。SCP 是從組織管理帳戶 (您建立組織時使用的 AWS 帳戶) 建立和套用。請參閱本參考前面的 ＜ 使用 AWS Organizations 進行安全性 ＞ 一節，閱讀更多有關 SCP 的資訊。 

如果您使用 AWS Control Tower 管理 AWS 組織，它會部署一組 SCP 做為預防性防護 (分類為強制性、強烈建議或選擇性)。這些護欄可透過強制執行整個組織的安全性控制，協助您控管資源。這些 SCP 會自動使用值為的 aws-control-tower managed-by-control-tower標籤。 

設計考量

• SCP 只會影響 AWS 組織中的成員帳戶。雖然它們是從組織管理帳戶套用的，但它們對該帳戶中的使用者或角色沒有任何影響。若要了解 SCP 評估邏輯的運作方式，以及查看建議結構的範例，請參閱 AWS 部落格文章如何在 AWS Organizations 中使用服務控制政策。

IAM Identity Center

AWS IAM 身分中心 (AWS Single Sign-On 的後續任務) 是一種身分聯合服務，可協助您集中管理所有 AWS 帳戶、主體和雲端工作負載的 SSO 存取。IAM 身分中心也可協助您管理常用第三方軟體即服務 (SaaS) 應用程式的存取權和許可。身分識別供應商透過使用 SAML 2.0 與 IAM 身分中心整合。您可以使用系統進行跨網域身分識別管理 (SCIM) 來完成大量和 just-in-time 佈建。身分識別中心也可以透過使用 AWS 目錄服務，與現場部署或 AWS 管理的 Microsoft Active Directory (AD) 網域整合為身分供應商。IAM Identity Center 包含一個使用者入口網站，您的最終使用者可以在一個位置尋找和存取其指派的 AWS 帳戶、角色、雲端應用程式和自訂應用程式。

IAM 身分中心以原生方式與 AWS Organizations 整合，並依預設在組織管理帳戶中執行。不過，為了行使最低權限並嚴格控制管理帳戶的存取權，IAM Identity Center 管理可以委派給特定的成員帳戶。在 AWS SRA 中，共用服務帳戶是 IAM 身分中心的委派管理員帳戶。在啟用 IAM 身分中心的委派管理之前，請先檢閱這些考量事項。您可以在 [共用服務帳戶] 區段中找到有關委派的詳細資訊。即使啟用委派後，IAM Identity Center 仍然需要在組織管理帳戶中執行，以執行特定 IAM 身分中心相關工作，其中包括管理組織管理帳戶中佈建的權限集。 

在 IAM 身分中心主控台中，帳戶會以封裝的 OU 顯示。這可讓您快速探索 AWS 帳戶、套用一般許可集，以及從中央位置管理存取。 

IAM 身分中心包含必須儲存特定使用者資訊的身分識別存放區。不過，IAM 身分中心不一定要成為員工資訊的權威來源。如果您的企業已經擁有權威來源，IAM 身分中心支援以下類型的身分識別提供者 (IdPs)。

• IAM 身分中心身分存放區 — 如果以下兩個選項無法使用，請選擇此選項。建立使用者、進行群組指派，並在識別身分存放區中指派權限。即使您的授權來源位於 IAM 身分中心的外部，主要屬性的副本也會與身分存放區一起儲存。

• Microsoft 活動目錄 (AD) — 如果您想要繼續管理您在 AWS Directory Service 中的使用者，或您在活動目錄中的自我管理目錄中的使用者，請選擇此選項。

• 外部身分識別提供者 — 如果您偏好管理外部協力廠商 SAML 型 IdP 中的使用者，請選擇此選項。

您可以信賴企業中已經存在的現有 IdP。這樣可以更輕鬆地跨多個應用程式和服務管理存取，因為您是從單一位置建立、管理和撤銷存取權。例如，如果有人離開您的團隊，您可以從一個位置撤銷他們對所有應用程式和服務 (包括 AWS 帳戶) 的存取權。這樣可減少對多個憑證的需求，並為您提供與人力資源 (HR) 流程整合的機會。

設計考量

• 如果您的企業可以使用外部 IdP 選項，請使用該選項。如果您的 IdP 支援跨網域身分識別管理 (SCIM) 的系統，請利用 IAM 身分中心的 SCIM 功能自動化使用者、群組和權限佈建 (同步)。這可讓新員工、搬到另一個團隊的員工以及離開公司的員工，AWS 存取與您的公司工作流程保持同步。在任何指定時間，您只能將一個目錄或一個 SAML 2.0 身分提供者連線至 IAM 身分中心。不過，您可以切換至其他身分識別提供者。

IAM 存取建議

IAM 存取顧問以服務上次存取的資訊形式，為您的 AWS 帳戶和 OU 提供可追溯性資料。使用此偵探控制項可為最低權限策略做出貢獻。對於 IAM 實體，您可以檢視兩種類型的上次存取資訊：允許的 AWS 服務資訊和允許的動作資訊。這些資訊包括嘗試的日期和時間。 

組織管理帳戶中的 IAM 存取權可讓您檢視 AWS 組織中組織管理帳戶、OU、成員帳戶或 IAM 政策上次存取的服務資料。此資訊可在管理帳戶的 IAM 主控台中取得，也可以透過使用 AWS Command Line Interface (AWS CLI) (AWS CLI) 中的 IAM 存取顧問 API 或程式設計用戶端以程式設計方式取得此資訊。這些資訊會指出組織或帳戶中哪些主參與者上次嘗試存取服務，以及何時存取服務。上次存取的資訊提供實際服務使用情況的深入解析 (請參閱範例案例)，因此您可以將 IAM 許可減少為只有實際使用的服務。

AWS Systems Manager

快速設定和瀏覽器 (AWS Systems Manager 的功能) 既支援 AWS Organizations，也可透過組織管理帳戶進行操作。 

快速設定是 Systems Manager 的自動化功能。它可讓組織管理帳戶輕鬆定義組態，讓 Systems Manager 代表您在 AWS 組織中的各個帳戶進行互動。您可以在整個 AWS 組織中啟用快速設定，或選擇特定 OU。快速安裝可以排程 AWS Systems Manager 代理程式 (SSM 代理程式) 在 EC2 執行個體上執行每兩週更新，並可設定這些執行個體的每日掃描以識別遺失的修補程式。 

Explorer 是可自訂的操作儀表板，可報告有關 AWS 資源的資訊。檔案總管會顯示 AWS 帳戶和跨 AWS 區域的操作資料彙總檢視。這包括 EC2 執行個體的相關資料和修補程式合規詳細資訊。在 AWS Organizations 中完成整合式設定 (也包括 Systems Manager OpsCenter) 之後，您可以依 OU 或整個 AWS 組織在 Explorer 中彙總資料。Systems Manager 會先將資料彙總到 AWS 組織管理帳戶，然後再在檔案總管中顯示資料。

本指南後面的工作負載 OU 一節討論在應用程式帳戶中 EC2 執行個體上使用系統管理員代理程式 (SSM 代理程式)。

AWS Control Tower

AWS Control Tower 提供簡單的方法來設定和管理安全的多帳戶 AWS 環境，稱為 landing zone。AWS Control Tower 使用 AWS Organizations 建立您的 landing zone，並提供持續的帳戶管理和管理以及實作最佳實務。您可以透過幾個步驟使用 AWS Control Tower 佈建新帳戶，同時確保帳戶符合您的組織政策。您甚至可以將現有帳戶新增至新的 AWS Control Tower 環境。 

AWS Control Tower 具有一組廣泛且靈活的功能。其中一項關鍵功能是能夠協調其他多個 AWS 服務的功能，包括 AWS Organizations、AWS Service Catalog 和 IAM 身分中心，以建立 landing zone。例如，AWS Control Tower 預設使用 AWS CloudFormation 建立基準，使用 AWS Organizations 服務控制政策 (SCP) 防止組態變更，AWS Config 規則則則則持續偵測不符合性。AWS Control Tower 採用藍圖，協助您快速調整多帳戶 AWS 環境與 AWS Well 架構的安全基礎設計原則。在管理功能中，AWS Control Tower 提供了防止部署不符合選定政策的資源的防護措施。 

您可以開始使用 AWS 控制塔實作 AWS SRA 指導。例如，AWS Control Tower 會建立具有建議多帳戶架構的 AWS 組織。它提供藍圖以提供身分識別管理、提供帳戶的聯合存取權限、集中記錄、建立跨帳戶安全性稽核、定義佈建新帳戶的工作流程，以及使用網路組態實作帳戶基準。 

在 AWS SRA 中，AWS Control Tower 位於組織管理帳戶內，因為 AWS Control Tower 使用此帳戶自動設定 AWS 組織，並將該帳戶指定為管理帳戶。此帳戶用於整個 AWS 組織的帳單。它也可用於 Account Factory 佈建帳戶、管理 OU，以及管理護欄。如果您要在現有 AWS 組織中啟動 AWS Control Tower，則可以使用現有的管理帳戶。AWS Control Tower 將使用該帳戶做為指定的管理帳戶。

設計考量

• 如果您想要在帳戶中對控制和組態進行其他基準，可以使用 AWS Control Tower (CFCT) 的自訂功能。使用 CFCT，您可以使用 AWS CloudFormation 範本和服務控制政策 (SCP) 自訂 AWS Control Tower landing zone。您可以將自訂範本和原則部署到組織內的個別帳戶和 OU。CFCT 與 AWS Control Tower 生命週期事件整合，以確保資源部署與您的 landing zone 保持同步。 

AWS Artifact

AWS Artifact 提供隨需存取 AWS 安全和合規報告，以及精選的線上協議。AWS Artifact 提供的報告包括系統和組織控制 (SOC) 報告、支付卡產業 (PCI) 報告，以及來自各地區和合規垂直領域的認證機構的認證，可驗證 AWS 安全控制的實作和營運效率。AWS Artifact 可協助您執行 AWS 的盡職調查，並增強對我們的安全控制環境的透明度。它還可讓您立即存取新報告，持續監控 AWS 的安全性和合規性。 

AWS Artifact 協議可讓您檢閱、接受和追蹤 AWS 協議的狀態，例如個別帳戶的商業夥伴增補合約 (BAA)，以及屬於 AWS Organizations 中組織一部分的帳戶。 

您可以將 AWS 稽核成品提供給稽核人員或監管機構，做為 AWS 安全控制的證據。您也可以使用某些 AWS 稽核成品提供的責任指導來設計雲端架構。此指南有助於判斷您可以設置哪些額外的安全性控制，以支援系統的特定使用案例。 

AWS 成品託管在組織管理帳戶中，以提供一個集中的位置，讓您可以在其中查看、接受和管理與 AWS 的協議。這是因為管理帳戶接受的合約會向下流向成員帳戶。 

設計考量

• 組織管理帳戶中的使用者應限制只能使用 AWS Artifact 的協議功能，而不能使用其他任何功能。為了實施職責劃分，AWS Artifact 也託管在安全工具帳戶中，您可以在其中將許可委派給合規利益相關者和外部稽核人員以存取稽核成品。您可以透過定義精細的 IAM 權限政策來實作此分隔。如需範例，請參閱 AWS 文件中的 IAM 政策範例。

分散式和集中式安全服務護欄

在 AWS SRA 中，AWS Security Hub、亞馬遜、AWS Config GuardDuty、IAM 存取分析器、AWS CloudTrail 組織追蹤，以及經常使用適當的委派管理或彙總到安全工具帳戶部署 Amazon Macie。如此一來，就能跨帳戶提供一組一致的防護，並提供整個 AWS 組織的集中式監控、管理和控管。您可以在 AWS SRA 中代表的每種帳戶類型中找到這組服務。這些服務應該是 AWS 服務的一部分，這些服務必須在帳戶上線和基準程序中佈建。程GitHub式碼儲存庫提供跨帳戶 (包括 AWS 組織管理帳戶) 的 AWS 安全性服務實作範例。 

除了這些服務之外，AWS SRA 還包含兩項以安全為重點的服務：Amazon Detective 和 AWS Audit Manager 員，可支援 AWS Organizations 中的整合和委派管理員功能。不過，這些不會納入帳戶基準化建議服務的一部分。我們已經看到，這些服務在以下情況下最好使用：

• 您有一個專門的團隊或一組資源來執行這些數位鑑識和 IT 稽核功能。安全分析師團隊最能利用 Amazon Detective ess，而 AWS Audit Manager 對您的內部稽核或合規團隊很有幫助。

• 您想要在專案開始時專注於核心工具集 (例如 GuardDuty 和 Security Hub)，然後使用提供額外功能的服務在這些工具上進行建置。