通过AWS Control Tower简化跨账号部署

AWS Control Tower利用数据访问，安全性和遵从性等领域的最佳实践，使建立多账户AWS环境的过程自动化。

AWS Control Tower 提供 500+ managed controls 通过AWS Security Hub, AWS Config, 和 service control policies (SCPs) 简化安全合规管理流程，保护您的AWS资源。比如，你可能有一个检测控制提醒您 Amazon Simple Storage Service (Amazon S3) 存储桶 配置的变化，使其公网可以访问。你可能设置了一个响应控制来修复它。但是，即使你有两个控制策略，你可以添加新的一层防护，添加主动控制防止创建或者允许修改Amazon S3 bucket配置使其开放到公网。

本文您将学习到如何创建一个账户作为AWS Control Tower的主账户。主账户中，您将启动您的AWS Control Tower环境，这将带来两个额外的核心账户：日志存档和审计。然后，您将使用AWS Service Catalog来创建一个新的配置账户。

目前AWS Control Tower只在Global Region可用，China Region不支持

什么是AWS Control Tower？

持续管理所有的账户是非常困难的，尤其当账户划分越来越多，企业规模不断增长的时候。AWS Control Tower可以帮助您集中管理您的AWS账户，将他们划分成不同的逻辑分组和层级，应用控制策略帮助您创建一个安全合规的环境。

收益1: 解决能见度不足的问题

能够看到所有环境和云账户。集中的管理窗口dashboard。

收益2: 简单点击几下构建最佳实践AWS环境

在这个环境的基础上再部署资源可以节省后期再进行安全合规整改的工作。

收益3: 标准化的账户服务

是基于AWS成千上万客户总结出来的最佳实践。

收益4: 集中策略管理

多账户统一策略，集中管理。

收益5: 强化安全合规

通过提供预置的SCP实现额外一层的安全控制， 也叫预防型控制。通过提供预置的Config规则，持续检查资源的安全合规性，也叫发现性控制。此外还有一个preview的控制类型，预测性控制，也就是当使用CloudFormation部署资源时，通过CloudFormation Guard检查部署是否符合安全标准，如果不符合则拦截部署。

收益6: 允许终端用户自助服务

AWS Control Tower预启动检查

1. 管理账户具有足够的服务限制；

2. 现有的IAM identity Center（之前的SSO）区域与AWS Control Tower的区域相同；

3. 管理账户不能有AWS Config或AWS CloudTrail的访问权限。

1 - 启用AWS Control Tower？

1. 创建新的账号/使用一个已有的账号作为主账号。如果使用已有账号，需要确保AWS Config没有开启，已经开启的需要先关闭。并且AWS organizations中AWS Control Tower的状态为Access disabled。

AWS Organizations - Services

1. 用超级管理员administrator登录主账号，进入Control Tower控制台。点击Get Started按钮创建新环境。

2. 按照提示信息进行选择和填写，其中注意创建新的账号时为账号指定一个邮箱地址。建议使用组邮箱而非个人邮箱，这样某个人离职也不会影响这个账号的使用。比如使用：you-controltower-log-archive@gmail.com

Log archive account

1. 选择完成以后，Control Tower就开始部署，可以在Dashboard看到部署进展。你会收到一些邮件，请关注您的收件箱这样你可以验证您的邮件地址和确认订阅Simple Notification Service（SNS）的提醒。

AWS Control Tower Dashboard

2 - 分模块浏览

创建完成以后，花一些时间浏览Dashboard和其他组件，包括Organization，Account factory，Controls Library，Users and access，Shared accounts，Landing zone settings，Activities。

AWS Control Tower Component	描述
Organization	该组件实现依赖AWS Organizations，您可以创建账户并分配资源，对账户进行分组以组织您的工作流程，应用政策进行治理，并通过对所有账户使用单一付款方式来简化计费。
Account factory	通过账户工厂，你可以提供新的账户并注册现有的账户，你可以为创建多个账户而规范你的账户和网络配置。该组件的实现依赖 AWS Service Catalog。
Controls Library	该组件实现依赖AWS Config来进行安全合规治理。在此模块可以看到已经部署了很多预制的安全控制项，可以浏览资源是否满足安全基线要求。
Users and access	该组件实现依赖IAM Identity Center，你的登陆区设置了一个目录来管理用户身份和单点登录，为你的用户提供跨账户的联合访问。它提供预配置的用户组和权限集，让你轻松地管理组织内的专门角色。
Shared accounts	AWS Control Tower创建了三个共享账户，每个账户都有特定用途，是其自动设置的一部分。 管理账户是用来管理和配置您的登陆区与AWS组织和IAM身份中心。 日志存档账户用于集中存储所有账户的账户活动和资源配置日志。可以避免子账号自己管理日志随意修改的情况出现。 审计账户用于启用安全和合规性角色来执行所有账户的审计活动。
Landing zone settings	查看你的着陆区版本细节。如果需要的话，可以更新和修复。比如配置Home Region，是否进行加密，日志保存时长等等。
Activities	方便安全审计使用，活动页面显示从管理帐户发起的所有AWS Control Tower行动。它包括当你通过AWS Control Tower控制台导航时自动记录的操作。