让组织开始使用 AWS：多账户、登陆区和 AWS 控制塔

第 2 部分：多账户、登陆区域和 AWS 控制塔

理论：AWS 多账户、登陆区和 AWS 控制塔

欢迎回来！这是“让组织开始使用 AWS - 没有人愿意做的无聊部分的实用指南”课程的第 2 部分。之前，我们创建了第一个 AWS 账户并对其进行了保护。

在这一部分中，我们将研究架构良好的 AWS 环境背后的理论，我们将为坚实的架构良好的基础奠定基础。这将为您在 AWS 中需要做的任何事情提供一个很好的起点。这将涵盖多账户、登陆区域和 AWS 控制塔产品。

一个帐户就足够了，我们可以在那个帐户中继续并构建我们需要的一切。但是，AWS 账户是资源之间的天然硬边界。将帐户视为“资源容器”。 AWS 账户是您创建的资源组之间的最佳隔离单位。

如您所知，用户生活在一个帐户中。正因为如此，如果用户的权限比他们应该的更高，那么他们可以做他们不应该做的事情。

但是，如果 AWS 账户本身受到服务限制，则属于该账户的用户可以造成的损害受到限制。想象一下，如果一个帐户仅用于运行 WordPress，如果该帐户仅限于该帐户所需的服务，则用户无法启动昂贵的不相关资源，或进行任何组织或计费更改。通过 AWS Control Tower 创建的账户可以使用防护栏创建，以防止或检测任何异常活动。

通常，在管理帐户中运行工作负载被认为是不好的做法。由于某些服务具有跨账户工作的功能，因为用户可以具有跨账户角色，并且因为账户能够受到限制——对于大型或复杂的组织来说，使用多个账户是一个显而易见的决定。

这是一个真实的组织结构示例：

任何实时或开发/测试工作负载（例如自定义应用程序或产品）都将存在于“工作负载”OU 下的帐户中。

出于多种原因，这很有用 - 这是一个跨账户配置如何为您节省技术复杂性和财务成本的示例。

在上面的示例中，我们至少有一个帐户运行多个 WordPress 网站。如果我们有 5 个账户——所有账户都在虚拟机上运行 WordPress，那么每个账户都需要自己的 VPC 和网络配置。稍后，如果您想对其进行监控，则需要对所有帐户进行网络监控。

相反，我们可以有一个共享网络服务的帐户，在其中定义一个具有所有适当配置和日志记录的 VPC，然后将这些子网公开给 WordPress 帐户，这可以降低网络成本（需要制作的基础设施更少）并允许建筑简洁。

我们也可以有一个账户来注册和管理域名，子账户可以根据一个账户管理的域来管理自己的子域。

这就是登陆区的用武之地。登陆区是一个架构良好的多账户 AWS 环境，具有可扩展性和安全性。这是您的组织可以对您的安全和基础架构环境充满信心地快速启动和部署工作负载和应用程序的起点。由您创建的其他帐户重复使用的共享基线。

多个帐户提供最高级别的资源和安全隔离。如果您对以下任何问题回答“是”，则应考虑创建额外的 AWS 账户：

· 您的企业是否需要工作负载之间的管理隔离？

· 您的企业是否需要有限的工作负载可见性和可发现性？

· 您的企业是否需要隔离以最小化爆炸半径？

· 您的业务是否需要对恢复和/或审计数据进行严格隔离？

AWS Control Tower 提供了一种简单的方法来设置和管理 AWS 多账户环境，遵循规范的最佳实践。

在架构上，这就是控制塔的外观。 AWS Control Tower 协调了其他几个 AWS 服务的功能，包括 AWS Organizations、AWS Service Catalog 和 AWS IAM Identity Center（AWS Single Sign-On 的继承者），以在不到一小时的时间内构建一个登陆区。代表您设置和管理资源。

主账户仅用于管理组织。

有一个基础 OU（组织单位），其中包含对您的着陆区至关重要的帐户。

这包括一个安全 OU，其中包含一个存档日志的帐户，以及一个用于监视日志和警报问题的帐户（此处可以包含自定义监视软件）。

您还将获得一个自定义 OU，它可以容纳您通过帐户工厂创建的帐户。账户工厂使用 AWS Service Catalog 创建所需的账户和引导资源。这些组织单元带有护栏，有些是强制性的，有些您可以自己配置。

护栏是提供针对 OU 的治理的高级规则。通过护栏，控制塔实施预防性和检测性控制，以监控资源的合规性。

预防性规则是使用服务控制策略实施的，这些策略是应用于 OU 的限制，限制了 OU 中的任何账户可以使用的 AWS 功能。检测规则是使用 AWS Config 规则实施的。

自定义 OU 可以包含沙盒帐户（或包含沙盒帐户的沙盒 OU）。这些将由开发人员用于实验，通常包括支出限制。

可以为您的实际工作负载创建其他 OU，即您将要构建的真正增值内容（在我们的示例中为 WordPress 站点）。 “工作负载”OU 将容纳我们的实时服务，并在内部反映您打算使用的软件交付生命周期。至少，这将包括一个预生产帐户（测试环境、UAT、Beta，无论您如何称呼它……），您可以在其中部署更改以进行测试，然后再将更改发布到世界各地。

AWS Control Tower 还管理 AWS Identity Center（前身为 AWS SSO）。这允许我们使用自定义用户目录来邀请用户加入组织，从这里他们可以使用单点登录门户访问用户或用户组允许访问的任何帐户。

用户目录可以存在于管理帐户中，但这不适合我们的架构。请记住，主账户应该只用于管理组织的设置。

由于目录是共享服务，因此拥有一个共享服务组织单元是有意义的。在这里，我们可以为我们的目录创建一个帐户。如果我们要为我们的 DNS 使用 Route53 托管区域，那么我们还可以在共享服务 OU 中创建一个域帐户。

AWS Control Tower 使您的分布式团队中的 IT 成员能够使用 Account Factory 中的可配置账户模板快速预置新的 AWS 账户。同时，您的中央云管理员可以监控所有帐户是否符合已建立的公司范围内的合规政策。

简而言之，AWS Control Tower 提供了基于与数千家企业合作建立的最佳实践来设置和管理安全、合规、多账户 AWS 环境的最简单方法。

AWS Control Tower 具有以下功能：

· 着陆区——着陆区是一个结构良好的、多账户环境这基于安全性和合规性最佳实践。它是企业范围的容器，包含您希望遵守合规性法规的所有组织单位 (OU)、帐户、用户和其他资源。登陆区可以扩展以适应任何规模的企业的需求。

· 护栏——护栏是一种高级规则，可为您的整个 AWS 环境提供持续的治理。它以通俗易懂的语言表达。存在两种护栏，预防性的和检测性的。三类指南适用于两种护栏：强制、强烈推荐或可选。

· 帐户工厂— 帐户工厂是一个可配置的帐户模板，有助于标准化使用预先批准的帐户配置来提供新帐户。 AWS Control Tower 提供了一个内置的账户工厂，可帮助您自动化组织中的账户预置工作流程。

· 仪表板——仪表板为您的中央云管理员团队提供对登陆区域的持续监督。使用仪表板查看整个企业的预置账户、为策略实施启用的护栏、为持续检测策略不合格而启用的护栏以及由账户和 OU 组织的不合规资源。

我们将使用 Control Tower 创建如下架构：

我知道这是很多理论，现在可能看起来有点抽象。但是我们可以在这里跳到一些演练步骤，或者您可以查看随附的视频。希望以下内容可以解决所有问题。

演练：AWS 多账户、登陆区域和 AWS 控制塔

1. 转到 AWS 控制台主页并单击“控制塔”，如果没有，您可以在顶部的服务栏中搜索它。

2. 应该看到这样的错误。那是因为只有 root 用户才能管理它。注销，然后以 root 用户身份重新登录。

3. 返回控制塔并单击“设置着陆区”。

4. 您现在要指定主区域。理论上，这可以是下拉列表中的任何区域，但是，我喜欢将我的区域设置为 N. Virginia——北弗吉尼亚拥有最多的 AWS 功能，您可能需要为 CloudFront 购买的任何证书都必须位于 N .弗吉尼亚，所以我建议使用美国东部（弗吉尼亚北部）。

5. 现在还有另外两个配置细节，是否启用 Region Deny，以及用于治理的其他区域。 Region Deny 拒绝访问不受您的控制塔管辖的任何区域的 AWS 服务。然后，您可以指定要管理的区域。我建议启用 Region Deny，如果没有，您可以随时启用它（可能需要一个小时左右才能启用）。指定所需的配置后，单击“下一步”。

6. 现在您可以定义安全区域的 OU 名称以及附加的 OU。默认情况下，它们分别是“安全”和“沙盒”。我选择将我的命名为“基础”和“工作负载”。指定名称，然后单击“下一步”。

7. 现在您需要在安全/基础 OU 中创建的两个帐户的电子邮件地址。日志归档和审计。按照与以前相同的做法，您可以像我一样使用邮件别名。提供这些，然后单击“下一步”。

8. 您可以保留其他配置，然后单击。当你到达终点时，你的着陆区应该开始建造。这可能要花点时间。随意在这里暂停，完成后回来。

9.现在我们可以回到控制塔仪表板，我们可以看到已经做了什么

您会注意到我们的环境现在有三个注册帐户。管理帐户、日志存档帐户和审核帐户。这些包括“共享帐户”。我们还可以看到已经创建了护栏，我们可以看到哪些已启用或未启用，在已启用的那些中，我们可以看到哪些是强制/清除的。

您可以在 IAM 身份中心创建用户，然后将权限集授予不同的 AWS 账户，使用 SSO 门户访问他们所属的不同账户（您也可以使用身份中心 SSO 授予这些用户对外部 SAML 的访问权限启用的应用程序，例如 Slack 或 Office）。稍后将详细介绍身份中心。

现在我们需要通过控制塔的“账户工厂”创建一些账户。

我们将创建目录帐户，它将存储我们用于 WorkMail 和 WorkSpaces（我们将向用户提供的邮件和桌面解决方案）的用户目录。如果我们想使用自我管理的 Microsoft Active Directory 解决方案来执行此操作，我们也可以将此目录用于 Identity Center 本身。

我们还将为我们的域管理创建一个帐户（本课程完全可选）。

我们将在“共享服务”OU 中提供这些服务。

转到 AWS Control Tower => 组织 => 创建资源 => 创建组织单位

2. 注册后，转到 AWS Control Tower => Account Factory。这将提示您一条消息，因为您当前以 root 身份登录，所以您无法执行此操作。

3. 我们可以使用我们创建的管理员用户登录，但是——让我们在 Identity Center 中创建一个可以用作管理员的用户。当我们需要在帐户之间跳转时，这将更容易。转到 Aws Control Tower => 用户并访问。您会注意到，在设置 Control Tower 时，您收到了 IAM 身份中心凭证的电子邮件。

4. 打开电子邮件并接受邀请。登录，您应该会看到类似这样的内容

5. 您现在可以登录 3 个共享帐户。当我们创建其他帐户时，我们可以授予该用户对这些帐户的访问权限。单击管理帐户，然后单击管理员访问角色登录。现在，您应该以联合用户身份登录。

6. 返回控制塔。转到帐户工厂。创建账户。首先，我们将创建域帐户。输入您将用于该帐户的电子邮件（例如 [email protected] ）。为 Identity Center 用户电子邮件使用相同的电子邮件，这将为 Identity Center 中的帐户创建一个用户。 OU 将是“SharedServices”。点击创建账户