本实验旨在通过在已启用的 AWS Organizations 中集成 AWS Control Tower 服务,实现多账户环境的自动化治理与合规管理。实验完成后,用户将掌握如何利用 Control Tower 建立标准化账户结构、实施安全基线策略,并通过 Service Control Policies (SCPs) 强制执行组织级访问控制。
A账户工厂(Account Factory):通过预配置模板自动化创建符合企业标准的 AWS 账户,减少手动配置错误。
安全基线(Security Baselines):自动部署 AWS Foundational Security Best Practices (FSBP) 标准,覆盖身份访问管理、网络防护、日志审计等关键领域。
策略引擎(Policy Engine):通过 SCPs 定义组织单元(OU)级别的权限边界,例如限制特定区域的服务使用或禁止公开 S3 存储桶。
持续合规监控:集成 AWS Security Hub 与 AWS Config,实时检测账户偏离安全策略的情况并触发告警。
本次采用AWS Console界面完成作业。
注意:根据项目的具体情况,可以采用不同的实施方法。比如使用命令行(CLI)部署、代码部署 (CloudFomation、Terraform等)、以及其它开发语言(SDK)完成作业。
步骤一:准备环境
登录 AWS Organizations 的管理账户,确认组织已启用“所有功能”(All Features)。
在 AWS IAM 中为执行用户分配 AdministratorAccess 权限或自定义包含 Control Tower 服务的权限策略。
步骤二:部署 Control Tower
访问 AWS 控制台,搜索并进入 AWS Control Tower 服务页面。
点击 Set up Control Tower,选择现有 AWS Organizations 并确认区域(如 us-east-1)。
在 Configure account factory 步骤中,定义默认账户模板(如 VPC 配置、IAM 角色策略)。
在 Configure guardrails 步骤中,选择强制型(Preventive)或检测型(Detective)安全策略,例如启用“禁止使用不加密的 EBS 卷”。
步骤三:创建组织单元与账户
在 Control Tower 控制台导航至 Organizational units,新建 OU(如 Production、Development)。通过 Account Factory 创建新账户,选择目标 OU 并应用预配置模板。
步骤四:配置 Service Control Policies
进入 AWS Organizations > Policies,创建新的 SCP 并关联至指定 OU。
示例策略:限制账户仅能使用 us-west-2 和 us-east-1 区域的服务。
1. 账户创建验证
在 AWS Organizations 控制台检查新账户是否自动加入指定 OU,并验证其网络配置(如 VPC 子网、安全组)是否符合模板。
2. 安全策略生效验证
尝试在受限制账户中创建 ap-northeast-1 区域的 EC2 实例,应收到权限拒绝错误。
在 AWS Security Hub 控制台查看合规性报告,确认所有账户通过 FSBP 标准检查项(如“密码策略强度”)。
3. 日志审计验证
通过 AWS CloudTrail 检查 Control Tower 的操作日志,确认账户创建、策略变更等事件均被完整记录。