本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
組織管理帳戶
通過進行簡短的調查 |
下圖說明組織管理帳戶中設定的 AWS 安全服務。
![組織管理帳戶的安全性服務](images/org-management-acct.png)
本指南前面的 < 使用 AWS Organizations 實現安全性 > 和管理帳戶、受信任的存取權限和委派管理員各節深入討論了組織管理帳戶的目的和安全目標。請遵循組織管理帳戶的安全性最佳做法。其中包括使用由您的企業管理的電子郵件地址、維護正確的管理和安全聯絡資訊 (例如,在 AWS 需要聯絡帳戶擁有者時,將電話號碼附加到帳戶)、為所有使用者啟用多因素身份驗證 (MFA),以及定期檢閱有權存取組織管理帳戶的人員。在組織管理帳戶中部署的服務應設定適當的角色、信任原則及其他權限,這樣這些服務的管理員 (必須在組織管理帳戶中存取這些服務的人員) 也無法不適當地存取其他服務。
服務控制政策
使用 AWS Organizations
如果您使用 AWS Control Tower 管理 AWS 組織,它會部署一組 SCP 做為預防性防護 (分類為強制性、強烈建議或選擇性)。這些護欄可透過強制執行整個組織的安全性控制,協助您控管資源。這些 SCP 會自動使用值為的 aws-control-tower managed-by-control-tower標籤。
設計考量
-
SCP 只會影響 AWS 組織中的成員帳戶。雖然它們是從組織管理帳戶套用的,但它們對該帳戶中的使用者或角色沒有任何影響。若要了解 SCP 評估邏輯的運作方式,以及查看建議結構的範例,請參閱 AWS 部落格文章如何在 AWS Organizations 中使用服務控制政策
。
IAM Identity Center
AWS IAM 身分中心
IAM 身分中心以原生方式與 AWS Organizations 整合,並依預設在組織管理帳戶中執行。不過,為了行使最低權限並嚴格控制管理帳戶的存取權,IAM Identity Center 管理可以委派給特定的成員帳戶。在 AWS SRA 中,共用服務帳戶是 IAM 身分中心的委派管理員帳戶。在啟用 IAM 身分中心的委派管理之前,請先檢閱這些考量事項
在 IAM 身分中心主控台中,帳戶會以封裝的 OU 顯示。這可讓您快速探索 AWS 帳戶、套用一般許可集,以及從中央位置管理存取。
IAM 身分中心包含必須儲存特定使用者資訊的身分識別存放區。不過,IAM 身分中心不一定要成為員工資訊的權威來源。如果您的企業已經擁有權威來源,IAM 身分中心支援以下類型的身分識別提供者 (IdPs)。
-
IAM 身分中心身分存放區 — 如果以下兩個選項無法使用,請選擇此選項。建立使用者、進行群組指派,並在識別身分存放區中指派權限。即使您的授權來源位於 IAM 身分中心的外部,主要屬性的副本也會與身分存放區一起儲存。
-
Microsoft 活動目錄 (AD) — 如果您想要繼續管理您在 AWS Directory Service 中的使用者,或您在活動目錄中的自我管理目錄中的使用者,請選擇此選項。
-
外部身分識別提供者 — 如果您偏好管理外部協力廠商 SAML 型 IdP 中的使用者,請選擇此選項。
您可以信賴企業中已經存在的現有 IdP。這樣可以更輕鬆地跨多個應用程式和服務管理存取,因為您是從單一位置建立、管理和撤銷存取權。例如,如果有人離開您的團隊,您可以從一個位置撤銷他們對所有應用程式和服務 (包括 AWS 帳戶) 的存取權。這樣可減少對多個憑證的需求,並為您提供與人力資源 (HR) 流程整合的機會。
設計考量
-
如果您的企業可以使用外部 IdP 選項,請使用該選項。如果您的 IdP 支援跨網域身分識別管理 (SCIM) 的系統,請利用 IAM 身分中心的 SCIM 功能自動化使用者、群組和權限佈建 (同步)。這可讓新員工、搬到另一個團隊的員工以及離開公司的員工,AWS 存取與您的公司工作流程保持同步。在任何指定時間,您只能將一個目錄或一個 SAML 2.0 身分提供者連線至 IAM 身分中心。不過,您可以切換至其他身分識別提供者。
IAM 存取建議
IAM 存取顧問以服務上次存取的資訊形式,為您的 AWS 帳戶和 OU 提供可追溯性資料。使用此偵探控制項可為最低權限策略做出貢獻。對於 IAM 實體,您可以檢視兩種類型的上次存取資訊:允許的 AWS 服務資訊和允許的動作資訊。這些資訊包括嘗試的日期和時間。
組織管理帳戶中的 IAM 存取權可讓您檢視 AWS 組織中組織管理帳戶、OU、成員帳戶或 IAM 政策上次存取的服務資料。此資訊可在管理帳戶的 IAM 主控台中取得,也可以透過使用 AWS Command Line Interface (AWS CLI) (AWS CLI) 中的 IAM 存取顧問 API 或程式設計用戶端以程式設計方式取得此資訊。這些資訊會指出組織或帳戶中哪些主參與者上次嘗試存取服務,以及何時存取服務。上次存取的資訊提供實際服務使用情況的深入解析 (請參閱範例案例),因此您可以將 IAM 許可減少為只有實際使用的服務。
AWS Systems Manager
快速設定和瀏覽器 (AWS Systems Manager
快速設定是 Systems Manager 的自動化功能。它可讓組織管理帳戶輕鬆定義組態,讓 Systems Manager 代表您在 AWS 組織中的各個帳戶進行互動。您可以在整個 AWS 組織中啟用快速設定,或選擇特定 OU。快速安裝可以排程 AWS Systems Manager 代理程式 (SSM 代理程式) 在 EC2 執行個體上執行每兩週更新,並可設定這些執行個體的每日掃描以識別遺失的修補程式。
Explorer 是可自訂的操作儀表板,可報告有關 AWS 資源的資訊。檔案總管會顯示 AWS 帳戶和跨 AWS 區域的操作資料彙總檢視。這包括 EC2 執行個體的相關資料和修補程式合規詳細資訊。在 AWS Organizations 中完成整合式設定 (也包括 Systems Manager OpsCenter) 之後,您可以依 OU 或整個 AWS 組織在 Explorer 中彙總資料。Systems Manager 會先將資料彙總到 AWS 組織管理帳戶,然後再在檔案總管中顯示資料。
本指南後面的工作負載 OU 一節討論在應用程式帳戶中 EC2 執行個體上使用系統管理員代理程式 (SSM 代理程式)。
AWS Control Tower
AWS Control Tower
AWS Control Tower 具有一組廣泛且靈活的功能。其中一項關鍵功能是能夠協調其他多個 AWS 服務的功能,包括 AWS Organizations、AWS Service Catalog 和 IAM 身分中心,以建立 landing zone。例如,AWS Control Tower 預設使用 AWS CloudFormation 建立基準,使用 AWS Organizations 服務控制政策 (SCP) 防止組態變更,AWS Config 規則則則則持續偵測不符合性。AWS Control Tower 採用藍圖,協助您快速調整多帳戶 AWS 環境與 AWS Well 架構的安全基礎設計原則。在管理功能中,AWS Control Tower 提供了防止部署不符合選定政策的資源的防護措施。
您可以開始使用 AWS 控制塔實作 AWS SRA 指導。例如,AWS Control Tower 會建立具有建議多帳戶架構的 AWS 組織。它提供藍圖以提供身分識別管理、提供帳戶的聯合存取權限、集中記錄、建立跨帳戶安全性稽核、定義佈建新帳戶的工作流程,以及使用網路組態實作帳戶基準。
在 AWS SRA 中,AWS Control Tower 位於組織管理帳戶內,因為 AWS Control Tower 使用此帳戶自動設定 AWS 組織,並將該帳戶指定為管理帳戶。此帳戶用於整個 AWS 組織的帳單。它也可用於 Account Factory 佈建帳戶、管理 OU,以及管理護欄。如果您要在現有 AWS 組織中啟動 AWS Control Tower,則可以使用現有的管理帳戶。AWS Control Tower 將使用該帳戶做為指定的管理帳戶。
設計考量
-
如果您想要在帳戶中對控制和組態進行其他基準,可以使用 AWS Control Tower (CFCT) 的自訂
功能。使用 CFCT,您可以使用 AWS CloudFormation 範本和服務控制政策 (SCP) 自訂 AWS Control Tower landing zone。您可以將自訂範本和原則部署到組織內的個別帳戶和 OU。CFCT 與 AWS Control Tower 生命週期事件整合,以確保資源部署與您的 landing zone 保持同步。
AWS Artifact
AWS Artifact
AWS Artifact 協議可讓您檢閱、接受和追蹤 AWS 協議的狀態,例如個別帳戶的商業夥伴增補合約 (BAA),以及屬於 AWS Organizations 中組織一部分的帳戶。
您可以將 AWS 稽核成品提供給稽核人員或監管機構,做為 AWS 安全控制的證據。您也可以使用某些 AWS 稽核成品提供的責任指導來設計雲端架構。此指南有助於判斷您可以設置哪些額外的安全性控制,以支援系統的特定使用案例。
AWS 成品託管在組織管理帳戶中,以提供一個集中的位置,讓您可以在其中查看、接受和管理與 AWS 的協議。這是因為管理帳戶接受的合約會向下流向成員帳戶。
設計考量
-
組織管理帳戶中的使用者應限制只能使用 AWS Artifact 的協議功能,而不能使用其他任何功能。為了實施職責劃分,AWS Artifact 也託管在安全工具帳戶中,您可以在其中將許可委派給合規利益相關者和外部稽核人員以存取稽核成品。您可以透過定義精細的 IAM 權限政策來實作此分隔。如需範例,請參閱 AWS 文件中的 IAM 政策範例。
分散式和集中式安全服務護欄
在 AWS SRA 中,AWS Security Hub、亞馬遜、AWS Config GuardDuty、IAM 存取分析器、AWS CloudTrail 組織追蹤,以及經常使用適當的委派管理或彙總到安全工具帳戶部署 Amazon Macie。如此一來,就能跨帳戶提供一組一致的防護,並提供整個 AWS 組織的集中式監控、管理和控管。您可以在 AWS SRA 中代表的每種帳戶類型中找到這組服務。這些服務應該是 AWS 服務的一部分,這些服務必須在帳戶上線和基準程序中佈建。程GitHub式碼儲存庫
除了這些服務之外,AWS SRA 還包含兩項以安全為重點的服務:Amazon Detective 和 AWS Audit Manager 員,可支援 AWS Organizations 中的整合和委派管理員功能。不過,這些不會納入帳戶基準化建議服務的一部分。我們已經看到,這些服務在以下情況下最好使用:
-
您有一個專門的團隊或一組資源來執行這些數位鑑識和 IT 稽核功能。安全分析師團隊最能利用 Amazon Detective ess,而 AWS Audit Manager 對您的內部稽核或合規團隊很有幫助。
-
您想要在專案開始時專注於核心工具集 (例如 GuardDuty 和 Security Hub),然後使用提供額外功能的服務在這些工具上進行建置。