AWS Control Tower 专业2019年〜
自动化多账户环境设置和治理的服务
它能做什么
AWS Control Tower 是一项自动化设置和管理安全合规的多 AWS 账户环境的服务。基于 AWS 最佳实践自动配置 Landing Zone(基础环境),通过 Guardrails(护栏)持续执行安全和合规策略。新账户的创建通过 Account Factory 标准化,确保所有账户从创建之初就符合组织策略。
使用场景
用于企业多账户环境的初始设置、新 AWS 账户的标准化创建、组织范围安全策略的统一执行、合规要求(如日志集中管理、禁止特定区域使用)的自动化实施等。
日常类比
可以将其比作连锁店的总部管理系统。开设新店(新账户)时,总部系统(Control Tower)自动按照标准配置店铺布局、安装安防设备、设置运营规则。所有门店都遵循统一标准运营,总部可以集中监控各店的合规状况。
什么是 Control Tower
AWS Control Tower 是一项为组织提供安全合规的多账户环境的服务。随着 AWS 使用规模扩大,通常会创建多个账户来隔离工作负载。Control Tower 自动化这些账户的设置和持续治理,确保所有账户遵循组织的安全标准。
Landing Zone
Landing Zone 是 Control Tower 设置的基础多账户环境。包括管理账户、日志归档账户、审计账户等核心账户,以及 CloudTrail 和 Config 的集中配置。Landing Zone 基于 AWS 多年积累的最佳实践设计,为组织提供安全的起点。
Guardrails(护栏)
Guardrails 是在整个组织中执行的策略规则。分为预防性护栏(通过 SCP 阻止违规操作)和检测性护栏(通过 Config Rules 检测不合规状态)。例如“禁止公开 S3 存储桶”“必须启用 CloudTrail”等。可以按 OU(组织单元)选择性应用。 关于 Guardrails 的设计方法,也可以参考相关书籍(Amazon)。
开始使用
在 Control Tower 控制台中点击“设置 Landing Zone”。选择主区域和治理区域,配置日志和审计设置。设置完成后,通过 Account Factory 创建新账户,新账户会自动继承组织的护栏和配置。整个设置过程约需 60 分钟。
注意事项
- Control Tower 本身免费,但其配置的 Config Rules、CloudTrail 等底层服务会产生费用
- Landing Zone 设置后的变更需要谨慎,部分设置变更可能影响所有受管账户
- 已有 Organizations 环境中引入 Control Tower 需要仔细规划迁移步骤
