AWS Control Tower

Hello大家好,在本课时我们将讨论AWS Control Tower。

AWS Control Tower是AWS organizations的一个功能延伸,它是设置在organizations的上层,并为您提供一些额外的控制。

通过Control Tower可以创建一个Landing zone,Landing zone是什么呢?**Landing zone可帮助客户更快速地设置符合 AWS 最佳实践的安全的多AWS账户的 AWS 环境。**如果您的账户还没有创建AWS组织,那么它首先将会为您创建一个组织。

在这个组织中,您有您自己的根OU,在这个OU有您的管理账户。

然后作为Landing zone的一部分,Landing zone还将为您创建一系列的OU和账户。比如安全OU,沙箱OU,以及生产OU。当然您可以在一定程度上配置您需要创建哪些OU在Landing zone配置向导的步骤。

在安全OU中,将会创建两个AWS账户,分别是审计账户和日志存档账户。审计账户适用于需要访问 AWS Control Tower 提供的审计信息的用户团队;日志存档账户适用于需要访问landing zone 内已注册 OU 内的所有已注册账户的所有日志信息的用户团队。

简单来说就是一个是用于Landing zone日志审计的,一个是用于将所有Landing zone内AWS账户的所有日志收集的。

沙箱OU默认没有创建账户,您可以在其中创建开发测试账户;在默认情况下生产OU也是空的,您可以将您的生产账户直接添加到这里。

Control Tower集成了AWS SSO单点登陆服务,单点登陆的目录源可以是AWS SSO目录本身,这是默认的配置;还支持SAML2.0身份提供商以及微软活动目录。

Control Tower会创建一系列的预防性护栏,您可以理解成护预防性栏是一种防护性的机制,基本上是一些服务控制策略,用于禁止某些API操作。

您也可以把它视为类似于在IAM中管理策略。**实际上Control Tower为您创建了一系列托管的SCP,**这些托管的SCP针对特定的用途进行了预配置。简单的说预防性护栏作用就是可确保您的账户保持合规性,因为它会禁止导致违反政策的行为;

那除了预防性护栏,**Control Tower也也创建了Detective护栏,Detective护栏可以检测您账户内资源的不合规情况,**例如违反政策的行为,并通过仪表板提供警报。它是基于AWS lambda函数和AWS config规则来实现的。

最后我们总结下Control Tower。

Control Tower用于创建一个可帮助客户更快速地设置符合 AWS 最佳实践的、安全的、多AWS账户的 AWS 环境,也就是AWS所谓的Landing zone,中文一般翻译为着陆区。

护栏用于治理和合规性,**首先是预防性护栏,这些护栏基于服务控制策略,用于禁止某些API操作;**然后还有Detective护栏,它是通过AWS config规则以及Lambda函数来实现的,用于监视和管理Landing zone的合规性。

最后需要注意一点是,**管理账户内的根用户是可以执行护栏中禁止的操作的。**这是和AWS组织的概念相同,在AWS组织中,SCP也不能控制和影响管理账户中的根用户。

好的,以上就是本课时的内容,希望能够给大家带来帮助。

希望此系列教程能为您通过AWS的认证考试带来帮助,如您有任何疑问,请联系我们:

  • 如果您想获取本课程全部课时,请扫PPT的二维码加入。
  • AWS爱好者的网址是www.iloveaws.cn,认证视频课程,免费的认证考试仿真题以及认证课程文章,都可以在网站找得到
  • 可以通过扫码加入【AWS爱好者】微信公众号,查看原创的AWS知识点相关文章。
  • 加入【AWS爱好者】微信群,和其他同学一起备考,以及探讨交流AWS相关知识。

我们今天的视频课程就到这里,感谢大家的观看,我们下一课程再见。

2023年1月25日

0 responses on "AWS Control Tower"

Leave a Message

Setup Menus in Admin Panel

error: Content is protected !!