AWS - Control Tower
Control Tower
AWS Control Tower 是一個「多帳號自動化治理與最佳實務框架 (Landing Zone Automation)」服務,可幫你在 AWS 上快速建立與管理一組安全、合規、可控的多帳號架構。
它幫你一鍵完成:
- AWS Organizations(帳號結構)
- SSO / IAM Identity Center(身份整合)
- Guardrails(治理規範)
- Logging / Auditing 帳號
- 基礎安全設定(CloudTrail、Config、S3 Logs)
解決的問題
沒有 Control Tower 前
- 每次新增帳號都要手動設定 IAM、CloudTrail、Config
- 很難統一安全規範與帳號命名
- 無法確保各帳號遵守企業政策
- 跨帳號權限與帳務管理混亂
有了 Control Tower 後
- 一鍵建立多帳號基礎架構
- 自動套用 最佳實務與安全基線
- 可視化治理儀表板
- 新帳號自動套用公司規範
核心組件
| 組件 | 功能 |
|---|---|
| Landing Zone | 預先設定好的多帳號環境架構(安全基線 + 帳號組織 + 標準設定) |
| AWS Organizations | 建立 OU(Organization Units)與帳號階層 |
| Account Factory | 自動化建立新帳號(預設組態、自動加進 OU) |
| Guardrails | 預設治理規範(Preventive / Detective) |
| Dashboard | 提供合規與帳號狀態的視覺化介面 |
| Audit Account | 集中 CloudTrail、Config、Security Hub 等審計日誌 |
| Log Archive Account | 集中儲存 S3 / CloudTrail / Config logs |
Guardrails(護欄)
Guardrails 是 Control Tower 的核心治理概念,分兩種
| 類型 | 功能 | 範例 |
|---|---|---|
| Preventive (預防性) | 使用 AWS Organizations SCP (Service Control Policy) 阻止違規操作 | 禁止在特定 Region 建立資源 |
| Detective (偵測性) | 使用 AWS Config Rules 偵測違規行為 | 偵測未加密的 S3 Bucket |
Guardrails 有三種層級:
- Mandatory(強制啟用,不能關)
- Strongly recommended(建議啟用)
- Elective(可選擇性)
Account Factory
Control Tower 整合 AWS Service Catalog,
可透過 Account Factory 建立新帳號,並自動:
- 放入指定 OU
- 套用標準設定(如 CloudTrail 開啟、加密規範)
- 建立 IAM Identity Center 權限
比喻:
像「自動化生產線」一樣,一鍵就能生出新帳號。
運作流程(從建立到治理)
- 啟用 Control Tower(會建立 Organizations 架構)
- 自動建立兩個核心帳號:
- Log Archive Account
- Audit Account
- 啟用 Guardrails(安全基線)
- 建立 OU(例如 Production、Dev、Sandbox)
- 透過 Account Factory 建立新帳號
- 自動套用標準設定、同步進 Dashboard
- 持續監控合規性
