谷咕云计算

在AWS國際版中，管理多個賬號的許可權配置是確保安全性和效率的關鍵。以下是多賬號管理的核心操作方式和步驟，分場景說明：

一、基礎架構：使用AWS Organizations集中管控

1. 建立組織並整合賬號

• 操作步驟：

  1. 主賬號操作：登入主賬號 → 進入 AWS Organizations → 點選 Create organization。

  2. 邀請成員賬號：

     • 目標賬號的郵箱或賬號ID → 傳送邀請。

     • 目標賬號所有者需接受邀請（登入目標賬號 → AWS Organizations → 接受邀請）。

  3. 建立組織單元（OU）：

     • 按部門或環境劃分（如 Production、Development、Finance）。

     • 將成員賬號拖拽到對應OU中。

2. 應用服務控制策略（SCPs）

• 場景：禁止所有賬號建立高風險資源（如未加密的S3桶）。

• 策略示例：

  json

  複製

  {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Sid": "DenyUnencryptedS3",
        "Effect": "Deny",
        "Action": "s3:CreateBucket",
        "Resource": "*",
        "Condition": {
          "Null": {
            "s3:x-amz-server-side-encryption": "true"
          }
        }
      }
    ]
  }

• 繫結策略：選擇目標OU → 附加SCP策略。

二、跨賬號訪問：IAM角色與策略

1. 建立跨賬號角色（AssumeRole）

• 場景：允許開發賬號的管理員訪問生產賬號的只讀許可權。

• 操作步驟：

  1. 在生產賬號中：

     • 建立IAM角色 CrossAccountReadOnly → 信任實體為開發賬號的ID。

     • 附加策略 ReadOnlyAccess。

  2. 在開發賬號中：

     • 為使用者或組新增策略允許呼叫 sts:AssumeRole：

       json

       複製

       {
         "Version": "2012-10-17",
         "Statement": [
           {
             "Effect": "Allow",
             "Action": "sts:AssumeRole",
             "Resource": "arn:aws:iam::生產賬號ID:role/CrossAccountReadOnly"
           }
         ]
       }

  3. 訪問方式：

     bash

     複製

     # 透過AWS CLI切換角色
     aws sts assume-role --role-arn "arn:aws:iam::生產賬號ID:role/CrossAccountReadOnly" --role-session-name "DevToProd"2. 使用資源策略直接授權

• 場景：允許另一個賬號訪問本賬號的S3儲存桶。

• 操作步驟：

  1. 在S3儲存桶策略中新增跨賬號許可權：

     json

     複製

     {
       "Version": "2012-10-17",
       "Statement": [
         {
           "Effect": "Allow",
           "Principal": {"AWS": "arn:aws:iam::目標賬號ID:root"},
           "Action": "s3:GetObject",
           "Resource": "arn:aws:s3:::bucket-name/*"
         }
       ]
     }

三、高階管理：AWS Control Tower

1. 部署Landing Zone

• 適用場景：企業級多賬號合規基線配置。

• 操作步驟：

  1. 主賬號中進入 AWS Control Tower → 點選 Set up landing zone。

  2. 選擇 Region（如新加坡 ap-southeast-1） → 配置日誌存檔賬號和審計賬號。

  3. 自動完成以下配置：

     • 建立核心OU（如 Security、SharedServices）。

     • 啟用預設SCPs（禁止關閉CloudTrail、限制區域等）。

     • 部署日誌集中儲存（Amazon S3 + CloudWatch）。

2. 自定義防護策略（Guardrails）

• 示例：強制所有賬號啟用S3加密。

  • 在Control Tower中 → Guardrails → 啟用 s3-bucket-server-side-encryption-enabled。

  • 自動檢測並阻止未加密的S3桶建立。

四、集中身份管理：AWS SSO

1. 統一使用者目錄

• 操作步驟：

  1. 主賬號中進入 AWS SSO → 選擇身份源（如AWS Managed AD或外部IdP）。

  2. 同步使用者和組 → 分配許可權集（如 AdministratorAccess、ReadOnly）。

2. 跨賬號許可權分配

• 場景：允許財務組訪問所有賬號的Billing控制檯。

  1. 建立許可權集 BillingViewOnly → 附加策略 AWSBillingReadOnlyAccess。

  2. 在AWS SSO中將許可權集分配給 Finance組，並選擇所有目標賬號。

五、監控與審計

1. 集中日誌歸檔

• 配置步驟：

  1. 建立專用審計賬號 → 啟用 AWS CloudTrail 組織級追蹤。

  2. 將所有賬號的CloudTrail日誌轉發至審計賬號的S3桶。

2. 自動化合規檢查

• 使用 AWS Config Aggregator：

  1. 在管理賬號中啟用聚合器 → 新增所有成員賬號。

  2. 配置規則（如 iam-password-policy 檢查密碼強度）。

六、許可權邊界與最小特權

1. 限制IAM許可權邊界

• 場景：防止開發賬號的IAM使用者提權。

• 策略示例：

  json

  複製

  {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Action": "*",
        "Resource": "*",
        "Condition": {
          "StringNotEquals": {"iam:PermissionsBoundary": "DevBoundaryPolicy"}
        }
      }
    ]
  }

2. 臨時憑證管理

• 強制使用角色而非長期憑證：

  • 透過SCP禁止建立Access Key：

    json

    複製

    {
      "Version": "2012-10-17",
      "Statement": [{
        "Effect": "Deny",
        "Action": "iam:CreateAccessKey",
        "Resource": "*"
      }]
    }

配置方式對比

最佳實踐總結

1. 分層管理：Organizations管理賬號結構，SCP控制權限邊界，IAM角色實現跨賬號操作。

2. 最小許可權原則：所有策略按需分配，禁止萬用字元（"Action": "*"）。

3. 自動化監控：透過CloudTrail+Config+Security Hub即時檢測異常。

4. 定期審計：每季度檢查SCP和IAM策略，刪除冗餘許可權。

透過上述方式，可構建安全、靈活的多賬號管理體系，同時滿足合規性和運維效率需求。

總結：靈活支付保障業務無憂

若需開通aws國際賬戶，可透過aws授權的代理商諮詢客服，提供註冊郵箱即可開通。https://www.kaihu123.com

即時到賬，無需繫結支付方式。郵箱註冊無需實名登記全程技術免費服務