概览
AWS Organizations 的账户评测可集中管理和评估 AWS Organizations 内的所有 AWS 账户,帮助您更好地了解和导航 AWS Organizations 的依赖关系。手动评估 AWS Organizations 依赖关系的过程可能非常耗时,可能需要审查各个账户的数十甚至数百个 AWS 资源。现在,您可以运行三种类型的扫描来查找委派管理员账户、基于身份和基于资源的策略以及为您的 AWS Organizations 启用可信访问的 AWS 服务,所有这些都可以通过一个简单的 UI 进行。
优势
在直观的 Web UI 中查看、检查扫描结果并对其进行问题排查。
使用超过 25 项具有可信访问权限的 AWS 服务,在您的 AWS Organizations 的所有 AWS 账户上执行操作。
使用 Web UI 扫描基于资源的策略、委派管理员账户和可信访问权限。
技术详情
您可以使用实施指南和随附的 AWS CloudFormation 模板自动部署该架构。
第 1 步
用户使用 Web UI 登录中心账户,Amazon Cognito 用户群体会对每个用户进行身份验证。Amazon CloudFront 提供来自 Amazon Simple Storage Service(Amazon S3)存储桶的 Web UI 内容。
第 2 步
S3 存储桶托管 Web UI。
第 3 步
当您开始扫描时,Web UI 会从 Amazon Cognito 获取令牌并向 Amazon API Gateway 发送请求。AWS WAF 保护应用程序编程接口(API)免受攻击。
此解决方案配置了一组名为 Web 访问控制列表(ACL)的规则,这些规则根据可配置、用户定义的 Web 安全规则和条件允许、阻止或计算 Web 请求。
注意:每种扫描类型都重复步骤 3-6。
第 4 步
API Gateway 提供解决方案的 API 层。
注意:每种扫描类型都重复步骤 3-6。
第 5 步
Amazon Cognito 会对 API 请求标头中的令牌进行身份验证。
注意:每种扫描类型都重复步骤 3-6。
第 6 步
AWS Lambda 为微服务提供服务并将 API 请求路由到每个微服务。作业管理微服务处理用户在 Web UI 中启动的每个扫描作业的创建、删除和历史记录。
注意:每种扫描类型都重复步骤 3-6。
委派管理员账户扫描
第 7 步
委派管理员账户扫描微服务会在 Amazon DynamoDB 表中查找并存储所有已启用 AWS 服务的委派管理员账户信息。这些账户可以为组织中的其他成员账户调用 AWS 账户管理 API 操作。
委派管理员账户扫描
第 8 步
此微服务从 Organizations 管理账户获取信息。
可信访问权限扫描
第 9 步
可信访问权限扫描微服务通过可信访问权限在 AWS Organizations 中查找和存储服务,允许服务代表您在您的组织及其账户中执行任务。此微服务将服务主体存储在 DynamoDB 表中。
可信访问权限扫描
第 10 步
此微服务从 AWS Organizations 管理账户获取信息。
基于资源的策略扫描
第 12 步
Step Functions 状态机并行扫描多个账户和 AWS 区域,以便在 DynamoDB 表中查找和存储资源详细信息。此微服务最多可以扫描您组织中不同账户的 25 个 AWS 服务并识别资源依赖关系。
基于资源的策略扫描
第 13 步
状态机中的每次迭代都将调用 Lambda 函数以在每个分支账户中担任一个角色。此微服务检查策略中可能包含组织 ID 或组织单位 ID 的条件。
第 1 步
用户使用 Web UI 登录中心账户,Amazon Cognito 用户群体会对每个用户进行身份验证。Amazon CloudFront 提供来自 Amazon Simple Storage Service(Amazon S3)存储桶的 Web UI 内容。
第 2 步
S3 存储桶托管 Web UI。
第 3 步
当您开始扫描时,Web UI 会从 Amazon Cognito 获取令牌并向 Amazon API Gateway 发送请求。AWS WAF 保护应用程序编程接口(API)免受攻击。
此解决方案配置了一组名为 Web 访问控制列表(ACL)的规则,这些规则根据可配置、用户定义的 Web 安全规则和条件允许、阻止或计算 Web 请求。
注意:每种扫描类型都重复步骤 3-6。
第 4 步
API Gateway 提供解决方案的 API 层。
注意:每种扫描类型都重复步骤 3-6。
第 5 步
Amazon Cognito 会对 API 请求标头中的令牌进行身份验证。
注意:每种扫描类型都重复步骤 3-6。
第 6 步
AWS Lambda 为微服务提供服务并将 API 请求路由到每个微服务。作业管理微服务处理用户在 Web UI 中启动的每个扫描作业的创建、删除和历史记录。
注意:每种扫描类型都重复步骤 3-6。
委派管理员账户扫描
第 7 步
委派管理员账户扫描微服务会在 Amazon DynamoDB 表中查找并存储所有已启用 AWS 服务的委派管理员账户信息。这些账户可以为组织中的其他成员账户调用 AWS 账户管理 API 操作。
委派管理员账户扫描
第 8 步
此微服务从 Organizations 管理账户获取信息。
可信访问权限扫描
第 9 步
可信访问权限扫描微服务通过可信访问权限在 AWS Organizations 中查找和存储服务,允许服务代表您在您的组织及其账户中执行任务。此微服务将服务主体存储在 DynamoDB 表中。
可信访问权限扫描
第 10 步
此微服务从 AWS Organizations 管理账户获取信息。
基于资源的策略扫描
第 12 步
Step Functions 状态机并行扫描多个账户和 AWS 区域,以便在 DynamoDB 表中查找和存储资源详细信息。此微服务最多可以扫描您组织中不同账户的 25 个 AWS 服务并识别资源依赖关系。
基于资源的策略扫描
第 13 步
状态机中的每次迭代都将调用 Lambda 函数以在每个分支账户中担任一个角色。此微服务检查策略中可能包含组织 ID 或组织单位 ID 的条件。