实战案例 | 使用 AWS Control Tower 搭建多账号审计与合规底座


  项目需求

某公司已启用 AWS Organizations 全部功能,下辖多个 AWS 业务账户,且后续会持续新增账户。该公司要求采用 AWS 原生托管服务,最大限度降低人工运营开销,实现全域操作审计,全覆盖所有现有及新建账户的 AWS 登录行为、全部 API 调用操作,做到操作可追溯、行为可留存;同时能够及时发现各账户不符合 AWS 基础安全最佳实践(FSBP,Foundational Security Best Practices)的配置与操作问题。

  解决方案

采用在组织管理账户中部署 AWS Control Tower 环境。在该环境中启用 AWS Security Hub 和 AWS Control Tower Account Factory。
Control Tower 能快速搭建一个符合最佳实践的“着陆区”(Landing Zone),它的架构包含三个独立的 AWS 账号,分别是管理账号、审计账号和日志归档账号。管理账号必须预先提供,通常直接复用 AWS Organizations 账户,负责组织全局配置管理、统一账单合并。日志归档账号集中存储所有成员账号的 CloudTrail 审计日志和 AWS Config 配置记录,确保任何 API 调用都无法被“消灭”。审计账号则专供安全团队进行只读审计。
Control Tower 与 Security Hub 深度集成,可启用“服务托管标准:AWS Control Tower”合规标准,该标准支持对 AWS 基础安全最佳实践(FSBP)中超过 170 项检测性控制进行持续评估。
Account Factory 是 Control Tower 的内置功能,支持通过标准化模板为组织预置新账号,确保新账号从创建之初就继承所有合规配置,通过这种方式,可以从根源上实现新账号的“出生即合规”。

  作业步骤

本次采用 AWS Console 界面完成作业。
注意:根据项目的具体情况,可以采用不同的实施方法。比如使用命令行 (CLI) 部署、代码部署 (CloudFomation、Terraform 等)、以及其它开发语言(SDK)完成作业。

步骤一:创建 AWS Control Tower 着落区
在组织管理账户登录 AWS 控制台,进入 AWS Control Tower 服务,点击“设置着陆区”(Set up landing zone),按照向导填写审计账号和日志归档账号 ID,接受默认配置即可启动部署。

步骤二:启用 Security Hub
进入 Control Tower 控制台的“控制”页面,从控制库中选择并启用一个 Security Hub 控制(如 SH.CodeBuild.1)。

步骤三: 创建新 AWS 账户
导航至 Account Factory,填写 SSO 用户邮箱和账户邮箱(需为未关联账户的新邮箱),选择目标组织单元(OU),即可完成新账户的标准化预置。新账户创建后会自动注册到 Control Tower,并继承所有已启用的合规控制。

  结果验证

1. 所有成员账号的 CloudTrail 日志和 AWS Config 变更记录自动汇聚到日志归档账号的 S3 存储桶中,任何登录或 API 调用皆有据可查。
2. Security Hub 持续基于启用的 FSBP 控制评估账号合规状态,在控制台以安全评分和问题清单形式清晰展示每项检查的通过或失败情况。
3. 新增的成员账号通过 Account Factory 完成预置后,自动继承了所有审计与合规配置。