AWS 帳號最佳實務就是讓帳號集中管理、權限受控、日誌可追、成本可分、資源可標準化。
一、AWS 帳號管理核心觀念
如果你要管理多個 AWS 帳號,建議使用 AWS Organizations。 它可以把多個帳號集中管理,並搭配 SCP 控制每個帳號可以做什麼、不能做什麼。
如果想更快速建立安全標準化的多帳號環境,可以使用 AWS Control Tower。 它建立在 AWS Organizations 之上,可以協助你建立符合安全最佳實務的帳號架構。
簡單記法:
Organizations 管帳號,SCP 管限制,Control Tower 幫你快速建立標準化多帳號環境。
二、AWS 專家口語化說明
AWS 帳號管理不是只建立帳號而已,重點是後續能不能控管。
你要知道誰可以做什麼、資源屬於誰、費用算在哪個部門、設定有沒有被改過、 出問題時能不能查 API 紀錄,這些才是帳號治理的重點。
所以要搭配 IAM、Tags、CloudTrail、AWS Config、Trusted Advisor、CloudFormation、 Service Catalog 等工具,讓整個 AWS 環境可控、可查、可維護。
三、AWS 服務與用途表格
| AWS 服務 / 概念 | 用途 | 白話說明 |
|---|---|---|
| AWS Organizations | 多帳號集中管理 | 把多個 AWS 帳號集中在同一個組織下管理。 |
| SCP | 限制帳號權限 | 控制某個帳號或 OU 最多可以做什麼、不能做什麼。 |
| AWS Control Tower | 快速建立多帳號環境 | 幫你用安全最佳實務建立 Landing Zone。 |
| Tags | 資源標籤 | 幫 EC2、RDS、S3 等資源加上分類資訊。 |
| Cost Allocation Tags | 成本分類標籤 | 依照部門、專案、環境追蹤 AWS 成本。 |
| IAM | 身分與權限管理 | 控制誰可以登入、可以操作哪些 AWS 資源。 |
| MFA | 多因素驗證 | 登入時多一層驗證,降低帳號被盜風險。 |
| AWS Config | 資源設定追蹤 | 記錄資源設定變化與合規狀態。 |
| AWS CloudFormation | 基礎設施自動化部署 | 用模板跨帳號、跨 Region 建立標準化資源。 |
| AWS Trusted Advisor | 帳號健康檢查 | 檢查成本、安全、效能、容錯、服務限制等問題。 |
| Amazon S3 | 日誌保存 | 可集中保存服務日誌與存取日誌。 |
| CloudWatch Logs | 日誌集中管理 | 收集與查詢 AWS 服務或應用程式日誌。 |
| AWS CloudTrail | API 呼叫紀錄 | 記錄誰在什麼時間對 AWS 做了什麼操作。 |
| AWS Service Catalog | 標準化資源自助入口 | 讓使用者建立管理員預先定義好的標準資源。 |
四、生活化比喻
可以把 AWS 多帳號管理想成管理一間大型公司。
| 生活場景 | AWS 對應 |
|---|---|
| 總公司管理所有分公司 | AWS Organizations |
| 公司規章限制員工不能做危險行為 | SCP |
| 標準化開分公司流程 | AWS Control Tower |
| 資產貼上部門與負責人標籤 | Tags / Cost Allocation Tags |
| 門禁與身份權限控管 | IAM / MFA / Least Privilege |
| 監視器與門禁紀錄 | AWS CloudTrail |
| 資產變更紀錄 | AWS Config |
| 企業健檢顧問 | AWS Trusted Advisor |
| 核准採購清單 | AWS Service Catalog |
五、整體流程圖
AWS 帳號最佳實務
│
├─ 1. 多帳號集中管理
│ ├─ AWS Organizations
│ └─ SCP
│
├─ 2. 快速建立安全多帳號環境
│ └─ AWS Control Tower
│
├─ 3. 權限與身分安全
│ └─ IAM
│ ├─ 啟用 MFA
│ ├─ 最小權限
│ ├─ 密碼政策
│ └─ 密碼輪替
│
├─ 4. 成本與資源管理
│ ├─ Tags
│ └─ Cost Allocation Tags
│
├─ 5. 變更與合規追蹤
│ └─ AWS Config
│
├─ 6. 標準化部署
│ └─ AWS CloudFormation
│
├─ 7. 日誌與稽核
│ ├─ CloudTrail
│ ├─ CloudWatch Logs
│ └─ Amazon S3 / Logging Account
│
├─ 8. 帳號健康檢查
│ └─ AWS Trusted Advisor
│
├─ 9. 帳號被入侵時
│ ├─ 修改 Root Password
│ ├─ 刪除或停用可疑 Passwords / Keys
│ └─ 聯絡 AWS Support
│
└─ 10. 使用者自助建立標準資源
└─ AWS Service Catalog
六、帳號被入侵時的處理
| 處理步驟 | 目的 |
|---|---|
| 修改 Root Password | 防止攻擊者繼續使用最高權限帳號。 |
| 刪除或停用可疑 Passwords / Access Keys | 避免被盜憑證繼續操作 AWS 資源。 |
| 檢查 CloudTrail | 追查攻擊者做了哪些 API 操作。 |
| 聯絡 AWS Support | 請 AWS 協助處理帳號安全事件。 |
總結:
AWS 帳號管理的核心是集中治理、權限控管、日誌稽核、成本追蹤與標準化資源建立。
Organizations、Control Tower、IAM、CloudTrail、Config、Service Catalog 是帳號治理的重要組合。
沒有留言:
張貼留言