概览
![](https://d1.awsstatic.com/colorset-3A_blue-to-green_gradient_divider.81459b38a56091aebc8c9b5310826c4ef397b007.png)
AWS Organizations 的账户评测可集中管理和评估 AWS Organizations 内的所有 AWS 账户,帮助您更好地了解和导航 AWS Organizations 的依赖关系。手动评估 AWS Organizations 依赖关系的过程可能非常耗时,可能需要审查各个账户的数十甚至数百个 AWS 资源。现在,您可以运行三种类型的扫描来查找委派管理员账户、基于身份和基于资源的策略以及为您的 AWS Organizations 启用可信访问的 AWS 服务,所有这些都可以通过一个简单的 UI 进行。
优势
![](https://d1.awsstatic.com/colorset-3A_blue-to-green_gradient_divider.81459b38a56091aebc8c9b5310826c4ef397b007.png)
在直观的 Web UI 中查看、检查扫描结果并对其进行问题排查。
使用超过 25 项具有可信访问权限的 AWS 服务,在您的 AWS Organizations 的所有 AWS 账户上执行操作。
使用 Web UI 扫描基于资源的策略、委派管理员账户和可信访问权限。
技术详情
![](https://d1.awsstatic.com/colorset-3A_blue-to-green_gradient_divider.81459b38a56091aebc8c9b5310826c4ef397b007.png)
您可以使用实施指南和随附的 AWS CloudFormation 模板自动部署该架构。
第 1 步
用户使用 Web UI 登录中心账户,Amazon Cognito 用户群体会对每个用户进行身份验证。Amazon CloudFront 提供来自 Amazon Simple Storage Service(Amazon S3)存储桶的 Web UI 内容。
第 2 步
S3 存储桶托管 Web UI。
第 3 步
当您开始扫描时,Web UI 会从 Amazon Cognito 获取令牌并向 Amazon API Gateway 发送请求。AWS WAF 保护应用程序编程接口(API)免受攻击。
此解决方案配置了一组名为 Web 访问控制列表(ACL)的规则,这些规则根据可配置、用户定义的 Web 安全规则和条件允许、阻止或计算 Web 请求。
注意:每种扫描类型都重复步骤 3-6。
第 4 步
API Gateway 提供解决方案的 API 层。
注意:每种扫描类型都重复步骤 3-6。
第 5 步
Amazon Cognito 会对 API 请求标头中的令牌进行身份验证。
注意:每种扫描类型都重复步骤 3-6。
第 6 步
AWS Lambda 为微服务提供服务并将 API 请求路由到每个微服务。作业管理微服务处理用户在 Web UI 中启动的每个扫描作业的创建、删除和历史记录。
注意:每种扫描类型都重复步骤 3-6。
委派管理员账户扫描
第 7 步
委派管理员账户扫描微服务会在 Amazon DynamoDB 表中查找并存储所有已启用 AWS 服务的委派管理员账户信息。这些账户可以为组织中的其他成员账户调用 AWS 账户管理 API 操作。
委派管理员账户扫描
第 8 步
此微服务从 Organizations 管理账户获取信息。
可信访问权限扫描
第 9 步
可信访问权限扫描微服务通过可信访问权限在 AWS Organizations 中查找和存储服务,允许服务代表您在您的组织及其账户中执行任务。此微服务将服务主体存储在 DynamoDB 表中。
可信访问权限扫描
第 10 步
此微服务从 AWS Organizations 管理账户获取信息。
基于资源的策略扫描
第 12 步
Step Functions 状态机并行扫描多个账户和 AWS 区域,以便在 DynamoDB 表中查找和存储资源详细信息。此微服务最多可以扫描您组织中不同账户的 25 个 AWS 服务并识别资源依赖关系。
基于资源的策略扫描
第 13 步
状态机中的每次迭代都将调用 Lambda 函数以在每个分支账户中担任一个角色。此微服务检查策略中可能包含组织 ID 或组织单位 ID 的条件。