Hello大家好,在本课时我们将讨论AWS Control Tower。
**AWS Control Tower是AWS organizations的一个功能延伸,**它是设置在organizations的上层,并为您提供一些额外的控制。
通过Control Tower可以创建一个Landing zone,Landing zone是什么呢?**Landing zone可帮助客户更快速地设置符合 AWS 最佳实践的安全的多AWS账户的 AWS 环境。**如果您的账户还没有创建AWS组织,那么它首先将会为您创建一个组织。
在这个组织中,您有您自己的根OU,在这个OU有您的管理账户。
然后作为Landing zone的一部分,Landing zone还将为您创建一系列的OU和账户。比如安全OU,沙箱OU,以及生产OU。当然您可以在一定程度上配置您需要创建哪些OU在Landing zone配置向导的步骤。
在安全OU中,将会创建两个AWS账户,分别是审计账户和日志存档账户。审计账户适用于需要访问 AWS Control Tower 提供的审计信息的用户团队;日志存档账户适用于需要访问landing zone 内已注册 OU 内的所有已注册账户的所有日志信息的用户团队。
简单来说就是一个是用于Landing zone日志审计的,一个是用于将所有Landing zone内AWS账户的所有日志收集的。
沙箱OU默认没有创建账户,您可以在其中创建开发测试账户;在默认情况下生产OU也是空的,您可以将您的生产账户直接添加到这里。
Control Tower集成了AWS SSO单点登陆服务,单点登陆的目录源可以是AWS SSO目录本身,这是默认的配置;还支持SAML2.0身份提供商以及微软活动目录。
Control Tower会创建一系列的预防性护栏,您可以理解成护预防性栏是一种防护性的机制,基本上是一些服务控制策略,用于禁止某些API操作。
您也可以把它视为类似于在IAM中管理策略。**实际上Control Tower为您创建了一系列托管的SCP,**这些托管的SCP针对特定的用途进行了预配置。简单的说预防性护栏作用就是可确保您的账户保持合规性,因为它会禁止导致违反政策的行为;
那除了预防性护栏,**Control Tower也也创建了Detective护栏,Detective护栏可以检测您账户内资源的不合规情况,**例如违反政策的行为,并通过仪表板提供警报。它是基于AWS lambda函数和AWS config规则来实现的。
最后我们总结下Control Tower。
Control Tower用于创建一个可帮助客户更快速地设置符合 AWS 最佳实践的、安全的、多AWS账户的 AWS 环境,也就是AWS所谓的Landing zone,中文一般翻译为着陆区。
护栏用于治理和合规性,**首先是预防性护栏,这些护栏基于服务控制策略,用于禁止某些API操作;**然后还有Detective护栏,它是通过AWS config规则以及Lambda函数来实现的,用于监视和管理Landing zone的合规性。
最后需要注意一点是,**管理账户内的根用户是可以执行护栏中禁止的操作的。**这是和AWS组织的概念相同,在AWS组织中,SCP也不能控制和影响管理账户中的根用户。
好的,以上就是本课时的内容,希望能够给大家带来帮助。
希望此系列教程能为您通过AWS的认证考试带来帮助,如您有任何疑问,请联系我们