1.多账户策略
- Account Vending:AWS Control Tower 使用 AWS Organizations 自动执行创建新账户的过程。这包括创建具有预定义防护机制 (策略) 的账户。
- 组织单位 (OU):Control Tower 利用 AWS Organizations 将账户构建为组织单位。此结构是在 AWS 环境的不同级别应用策略和防护机制的关键。
- landing zone:Control Tower 帮助建立一个安全且管理良好的landing zone,这是一组具有推荐安全性和合规性控制的 AWS 账户。
2.护栏
- 强制性护栏:这些是 Control Tower 提供的预定义治理控制措施,例如在整个 AWS 环境中实施的 IAM 角色、服务控制策略 (SCP) 和安全控制措施。
- 可选护栏:这些是额外的治理控制措施,可以根据组织的特定需求(例如,日志记录、加密)进行应用。
- 服务控制策略 (SCP):了解如何将 SCP 与 AWS Organizations 结合使用,为 AWS 账户设置权限边界,确保仅执行允许的操作。
- 预配置的防护机制:诸如强制加密、限制特定服务、确保为账户启用日志记录以及阻止对某些资源的公共访问等主题。
3.治理与合规
- 合规性监控:AWS Control Tower 持续监控对最佳实践和防护机制的合规性。它与 AWS Config 集成以跟踪更改和违反策略的行为。
- 自动修复:Control Tower 与 AWS Config 和其他 AWS 服务(例如 AWS Lambda)集成,以帮助自动修复策略违规。
- 审计跟踪和报告:AWS Control Tower 提供日志和报告,以深入了解合规性状态、策略违规和监管。
4.Account Factory 账户工厂
- Account Factory 概述:Control Tower 使用 Account Factory 来简化和自动化创建新 AWS 账户的过程。它确保新账户设置最佳实践和必要的护栏。
- Account Factory 的自定义: 您可以自定义 Account Factory,以便在创建帐户时添加组织单位、分配默认服务并应用特定的安全设置。
5.蓝图和最佳实践
- Control Tower 蓝图:了解 AWS Control Tower 提供的预定义最佳实践模板,包括安全性、身份管理、联网和监控设置。
- 预配置的登录区:了解 AWS Control Tower 提供的预配置架构和蓝图,以简化安全合规的 AWS 环境的部署。
6.多账户环境中的安全最佳实践
- Identity and Access Management (IAM):了解如何在多账户 AWS 环境中使用 IAM 角色和策略,以及 Control Tower 如何帮助实施管理用户、角色和权限的安全最佳实践。
- AWS Single Sign-On (SSO):AWS Control Tower 与 AWS SSO 集成,以实现跨账户的集中式身份管理。
- 日志记录和监控:了解 AWS Control Tower 如何确保在每个账户中启用日志记录(使用 AWS CloudTrail、Amazon CloudWatch 和 AWS Config),以保持监督和安全。
7.将 Control Tower 与其他 AWS 服务集成
- AWS Organizations:了解 Control Tower 如何使用 AWS Organizations 管理多个账户、应用策略并确保大规模监管。
- AWS CloudTrail、AWS Config 和 Amazon CloudWatch :Control Tower 利用这些服务对所有账户的活动进行集中监控和审计。
- 服务集成:AWS Control Tower 与 AWS Security Hub 等其他 AWS 服务集成,以增强跨账户的安全监控和警报。
8.AWS Control Tower 的生命周期管理
- 启用和禁用 Control Tower:了解初始设置 Control Tower 并管理其生命周期的过程,包括禁用时会发生什么。
- 管理护栏和组织单位:了解如何在部署后更新护栏和管理 OU。
- 自定义 Control Tower:虽然 Control Tower 提供了许多开箱即用的功能,但您可能还需要根据组织需求自定义您的landing zone。
9.自动化和成本管理
- 成本分配和计费:AWS Control Tower 使用 AWS Organizations 跨多个账户进行整合账单。了解其工作原理以及如何利用它来进行成本管理。
- 账户创建和设置的自动化: Control Tower 自动化了创建账户的过程,但重要的是要了解这些自动化流程如何与整体自动化和成本管理实践保持一致。
10.与其他 AWS 服务的互操作性
- AWS Security Hub:Control Tower 与 Security Hub 集成,以提供整个环境安全合规性的全面视图。
- AWS CloudFormation:Control Tower 中的一些配置任务可以通过 CloudFormation 模板自动执行,例如自定义护栏或自定义资源预置。
- AWS SSO(单点登录):AWS SSO 通常集成到 AWS Control Tower 中,用于跨多个账户进行集中身份管理。
AWS Control Tower概述
- 知识点:可自动设置安全、合规的多账户AWS环境;提供仪表板管理和监控账户,通过蓝图创建和管理组织单元(OUs)及账户;与AWS Organizations、CloudTrail、Config和Security Hub等服务集成。
- 注意事项:需了解其与各集成服务的交互原理,明确不同服务在整体架构中的作用。
Landing Zone
- 知识点:是AWS Control Tower的基础,指安全合规的多账户AWS环境;Control Tower为其设置组织单元、账户基线和治理控制。
- 注意事项:理解Landing Zone的搭建原理和重要性,实际应用中要关注其与业务需求的匹配度。
Guardrails
- 知识点:用于在环境中执行策略,分预防性和检测性两种。预防性可阻止不合规操作,检测性可监测合规情况并在违规时发送警报,通过AWS Config规则和CloudTrail实现。
- 注意事项:需根据业务需求合理配置两种类型的guardrails,避免过度限制或检测不到位。
Account Factory
- 知识点:是AWS Control Tower中的服务,简化在AWS Organization中配置和管理AWS账户的过程,可创建具有预配置安全基线和治理设置的新账户,符合AWS Control Tower最佳实践。
- 注意事项:要确保预配置的设置符合组织安全和治理要求,创建账户时关注配置参数的准确性。
AWS Organizations
- 知识点:AWS Control Tower构建于其上,用于从中心位置管理多个AWS账户,可创建组织单元并管理应用于这些单元的策略。
- 注意事项:规划组织单元结构时要结合业务架构和管理需求,避免策略冲突。
Audit and Logging
- 知识点:AWS Control Tower与CloudTrail和Config集成,CloudTrail跟踪API调用和用户活动,Config提供配置监控和合规检查。
- 注意事项:要合理设置日志保留策略和监控规则,确保能及时发现异常活动和合规问题。
AWS Security Hub
- 知识点:AWS Control Tower与之集成,提供所有账户安全状况的综合视图,聚合GuardDuty、Inspector等服务的结果,提供安全合规的集中视图。
- 注意事项:需关注各集成服务的告警阈值和报告机制,及时处理安全问题。
考试注意事项
- 理解关系:深入理解AWS Control Tower与AWS Organizations及其他集成服务的关系。
- 掌握概念:熟悉Landing Zones概念及在多账户设置中的作用。
- 明确目的:清楚guardrails目的、类型及在账户治理中的应用。
- 熟悉功能:了解Account Factory功能及账户配置相关知识。