本實驗旨在通過在已啟用的 AWS Organizations 中集成 AWS Control Tower 服務,實現多賬戶環境的自動化治理與合規管理。實驗完成后,用戶將掌握如何利用 Control Tower 建立標準化賬戶結構、實施安全基線策略,并通過 Service Control Policies (SCPs) 強制執行組織級訪問控制。
A賬戶工廠(Account Factory):通過預配置模板自動化創建符合企業標準的 AWS 賬戶,減少手動配置錯誤。
安全基線(Security Baselines):自動部署 AWS Foundational Security Best Practices (FSBP) 標準,覆蓋身份訪問管理、網絡防護、日志審計等關鍵領域。
策略引擎(Policy Engine):通過 SCPs 定義組織單元(OU)級別的權限邊界,例如限制特定區域的服務使用或禁止公開 S3 存儲桶。
持續合規監控:集成 AWS Security Hub 與 AWS Config,實時檢測賬戶偏離安全策略的情況并觸發告警。
本次采用AWS Console界面完成作業。
注意:根據項目的具體情況,可以采用不同的實施方法。比如使用命令行(CLI)部署、代碼部署 (CloudFomation、Terraform等)、以及其它開發語言(SDK)完成作業。
步驟一:準備環境
登錄 AWS Organizations 的管理賬戶,確認組織已啟用“所有功能”(All Features)。
在 AWS IAM 中為執行用戶分配 AdministratorAccess 權限或自定義包含 Control Tower 服務的權限策略。
步驟二:部署 Control Tower
訪問 AWS 控制臺,搜索并進入 AWS Control Tower 服務頁面。
點擊 Set up Control Tower,選擇現有 AWS Organizations 并確認區域(如 us-east-1)。
在 Configure account factory 步驟中,定義默認賬戶模板(如 VPC 配置、IAM 角色策略)。
在 Configure guardrails 步驟中,選擇強制型(Preventive)或檢測型(Detective)安全策略,例如啟用“禁止使用不加密的 EBS 卷”。
步驟三:創建組織單元與賬戶
在 Control Tower 控制臺導航至 Organizational units,新建 OU(如 Production、Development)。通過 Account Factory 創建新賬戶,選擇目標 OU 并應用預配置模板。
步驟四:配置 Service Control Policies
進入 AWS Organizations > Policies,創建新的 SCP 并關聯至指定 OU。
示例策略:限制賬戶僅能使用 us-west-2 和 us-east-1 區域的服務。
1. 賬戶創建驗證
在 AWS Organizations 控制臺檢查新賬戶是否自動加入指定 OU,并驗證其網絡配置(如 VPC 子網、安全組)是否符合模板。
2. 安全策略生效驗證
嘗試在受限制賬戶中創建 ap-northeast-1 區域的 EC2 實例,應收到權限拒絕錯誤。
在 AWS Security Hub 控制臺查看合規性報告,確認所有賬戶通過 FSBP 標準檢查項(如“密碼策略強度”)。
3. 日志審計驗證
通過 AWS CloudTrail 檢查 Control Tower 的操作日志,確認賬戶創建、策略變更等事件均被完整記錄。