使用AWS Control Tower管理多账户

AWS Control Tower 基于与数千家企业合作建立的最佳实践，提供了建立和管理安全、合规和多账户 AWS 环境的最简单方法。企业可以利用内置的预防性、主动性和侦测性控制措施作为起点，以解决 AWS 共同责任模式中的客户部分问题。Control Tower 为治理和审计目的设置并执行了几个关键组件：

• AWS Organizations: 帮助你统一管理多账户

• Service Control Policies (SCPs): 组织/账户级别生效的控制策略，可以构建数据防护边界。

• Controls: 帮助在所有账户中执行策略和最佳实践；

• Audit Logging: 聚合审计日志以及管理保存周期；

• AWS Organizations Audit Trail: 记录账户的创建和删除以及 SCP 的更改；

• Account Factory: 确保新账户创建后遵循你预先定义的策略和配置。

• Integration with AWS Security Hub: 集中查看多账户中的安全告警和合规检查。

• AWS Identity Center: 预置好组和权限集，方便分配权限。