深入探讨亚马逊云科技云治理

深入探讨亚马逊云科技云治理

关键字: [Amazon Web Services re:Invent 2024， 亚马逊云科技， Amazon Control Tower， Cloud Governance Framework， Business Objectives， Account Strategy， Preventive Controls， Proactive Controls]

导读

随着组织快速采用云计算，有效治理的需求变得至关重要。在这个深入探讨的环节中，我们将探索在亚马逊云科技上实施强大云治理的高级策略和底层亚马逊云科技服务。您将了解如何利用亚马逊云科技服务和策略在环境中应用治理，重点关注账户设计、安全控制、审计报告和自动化。

演讲精华

以下是小编为您整理的本次演讲的精华。

在不断演进的云计算领域中，治理已成为组织将其亚马逊云科技使用与业务目标保持一致的关键框架。这个全面的会议深入探讨了云治理的复杂性，阐明了组织有效管理大规模云资源时所面临的挑战、策略和工具。

会议首先由亚马逊云科技首席解决方案架构师Ralph Horenis和专门从事治理和合规性的高级解决方案架构师Mattel Soreyes共同主讲。他们阐明了客户在云治理方面面临的三大主要挑战:可扩展性、安全性以及自动化和集成。

可扩展性意味着确保治理政策和实践能与组织的云基础设施同步发展，从而实现大规模高效管理成本和资源。安全性是一个至关重要的问题，围绕着保护敏感数据、基础设施，并维护行业法规合规性。而自动化和集成则着眼于实施控制措施以减少人为错误，并在必要时启用警报和自动补救。

为应对这些挑战，亚马逊云科技建议采用利用Amazon Organizations的多账户策略。这种方法有助于隔离工作负载、管理限制、访问控制，并在整个组织中一致应用政策。建立健全的控制措施是下一步，确保遵守安全标准、高效运营、合规需求，并通过最小特权访问实现强大的身份管理。审计在提供控制措施应用保证、支持法证调查和实现实时监控方面发挥着关键作用。

Amazon Organizations集成使客户能够在多个账户中大规模利用安全检查、集中日志记录和配置管理等关键功能。Amazon Control Tower服务成为了强大的助手，有助于按照最佳实践设置多账户登陆区域，并与超过14种基础亚马逊云科技服务无缝集成。

作为共同主讲人，Mattel Soreyes深入探讨了账户策略的演进，强调这是一个旅程，而非一次性设置。他建议遵循Amazon Organizations最佳实践白皮书，并建立安全性、基础设施、沙箱和工作负载(生产和非生产)的基础组织单位(OU)。随着组织的发展，可以引入暂停、过渡、例外、政策暂存和业务连续性等其他OU，以满足特定需求。

Amazon Control Tower作为部署具有托管控制、集中日志记录和账户基线的多账户设置的推荐服务，备受推崇。该服务最近增加了与Amazon Backup的集成，创建了中央备份和管理员账户，以增强数据保护和管理。生命周期事件成为一种强大的工具，可以自定义新供应的账户，启用诸如Amazon GuardDuty之类的服务，并向委派的管理员账户发送通知。

转向控制措施，Mattel Soreyes阐述了政策、控制目标、标准和安全控制措施的层次结构。亚马逊云科技提供三种类型的控制措施:预防性、主动性和检测性，每一种在维护安全合规的云环境中都发挥着关键作用。

预防性控制措施，如服务控制策略(SCP)和新推出的资源控制策略(RCP)，扮演着守门人的角色，在未经授权的访问或操作发生之前就予以阻止。RCP特别允许在账户和区域范围内对亚马逊云科技资源实施一致的访问控制，与控制身份访问的SCP形成互补。Ralph Horenis演示了RCP的强大功能，即使资源策略允许，也能阻止对Amazon Secrets Manager密钥的外部访问，展示了集中强制执行数据边界的能力。

声明性策略，如新推出的EC2策略，使组织能够声明资源属性的期望状态，例如阻止共享公共快照或强制执行IMDSv2 token=required version=2。Ralph展示了通过Amazon Organizations创建和应用这些策略的过程，实现了对资源配置的集中治理。

对于主动性控制措施，Mattel Soreyes介绍了亚马逊云科技 CloudFormation Hooks和开源CloudFormation Guard解决方案。这些工具使组织能够在部署期间实施规则，确保资源在供应之前符合定义的政策和标准。此外，他还演示了Amazon Cloud Control API提供程序用于Terraform，允许在熟悉的Terraform工作流中应用主动控制措施。在演示中，一个主动控制规则被强制执行，要求启用S3存储桶版本控制。

检测性控制措施利用Amazon Config的强大功能来跟踪资源配置变更，并使用托管或用Guard域特定语言(DSL)编写的自定义规则来评估期望状态。Mattel展示了创建Config规则以强制执行S3存储桶版本控制的过程，并提供了查看合规性报告的见解，使组织能够全面了解其资源配置情况。

Amazon Control Tower作为一个综合解决方案，提供了与常见治理目标(如限制EC2实例的网络访问)相一致的托管预防性、检测性和主动性控制措施库。这使组织能够轻松实施行业标准控制措施和最佳实践。

审计是治理的关键方面，通过Amazon CloudTrail的功能得到解决。该服务提供了对审计跟踪的治理，跟踪管理事件(控制平面操作)、数据事件(数据平面操作)以及新增的VPC端点活动事件。新推出的CloudTrail Lake允许过滤掉噪音事件并优化数据收集，确保组织能够专注于最相关的审计数据。

增强的事件过滤功能进一步赋予组织权力，使其能够从审计跟踪中排除特定角色、服务或资源，从而减少噪音并提高信噪比。由生成式AI驱动的CloudTrail仪表板提供活动概览，突出显示诸如“在过去24小时内我有这么多抛出错误”之类的见解。预构建的组织视图和自定义仪表板有助于更深入地分析IAM活动、S3错误等。

Amazon Audit Manager成为自动从多个来源(包括CloudTrail、Config规则和亚马逊云科技服务API调用)收集证据的强大助手。这简化了合规性审计和评估的过程，确保组织能够全面了解其合规性状况。

会议还强调了真实的客户使用案例和场景，以说明亚马逊云科技云治理能力的实际应用。其中一个场景涉及一位客户收到CFO的来电，称过去几个月成本飙升，但无人知晓原因。此外，安全团队还对暴露敏感数据的未加密S3存储桶提出了担忧。这一场景凸显了治理在管理成本、确保资源安全和维护合规性方面的重要性。

另一个客户使用案例演示了用户亚马逊云科技足迹的演进，从单个账户开始，利用亚马逊云科技 Cost Optimization Hub等服务通过储蓄计划和预留实例等建议来降低成本。随着用户在多个账户中的足迹增长，Amazon Organizations通过提供集中视图和委派管理员账户来扩展治理，避免了最终用户在众多账户之间承担角色的需求。

Mattel Soreyes还分享了客户成功实施Amazon Organizations的见解，强调了安全性、基础设施、沙箱和工作负载的基础组织单位。他强调在父级OU级别建立继承策略的重要性，利用Amazon Organizations服务，如服务控制策略(SCP)和资源控制策略(RCP)。

在会议临近尾声时，Ralph Horenis和Mattel Soreyes强调了组织开始云治理之旅的关键要点。采用Amazon Control Tower定义多账户策略至关重要，利用与治理目标相一致的托管控制措施，并通过基础设施即代码自动化主动控制措施。此外，他们还鼓励与会者利用亚马逊云科技的治理资源，如云采用框架案例研究和相关re:Invent会议，以进一步了解和实施云治理最佳实践。

在云计算成为现代企业支柱的世界中，亚马逊云科技在re:Invent 2024活动上对云治理的深入探讨成为指引之光。通过采纳本全面会议中概述的策略、工具和最佳实践，组织可以自信地驾驭云治理的复杂性，确保其亚马逊云科技使用与业务目标保持一致，同时在大规模范围内维护安全、合规和高效管理的云环境。

下面是一些演讲现场的精彩瞬间：

演讲者强调了一个假设情景，即一家公司由于未加密的S3存储桶而面临成本飙升和数据泄露，为讨论这些挑战的解决方案奠定了基础。

一位用户从独立账户开始，部署资源，然后利用亚马逊云科技成本优化中心通过储蓄计划和预留实例等建议来降低成本。

Amazon Control Tower的生命周期事件能够实现对新供应账户的自动定制，确保整个组织内的安全性和治理标准的一致性。

演讲者解释了治理金字塔，从政策、控制目标、标准到最后的安全控制措施，强调Quarto作为关键的治理工具的重要性。

解释了资源创建保护(RCP)如何简化了跨多个亚马逊云科技资源和账户实施安全政策的过程，与之前为每个资源单独配置政策的方法相比。

演示了使用Amazon Lambda或亚马逊云科技 CloudFormation Guard创建钩子的过程，能够将输出报告发送到S3存储桶，并配置钩子模式在出现错误时失败。

在村庄的亚马逊云科技展台上，您可以体验VR体验、获取书籍、赠品和纪念品，并由亚马逊云科技专家解答有关治理和合规性的问题。

总结

在这个富有洞见的云治理会议上，演讲者深入探讨了通过一个战略性的规则、流程和控制框架，将亚马逊云科技的使用与业务目标保持一致的关键方面。主要内容包括:

1. 建立明确的多账户策略对于有效的治理至关重要。Amazon Control Tower通过实现跨多个账户的集中管理和最佳实践部署，简化了这一过程。
2. 实施预防性、主动性和检测性控制对于维护安全性、成本管理和合规性至关重要。预防性控制如服务控制策略(SCPs)、资源控制策略(RCPs)和声明性策略可以强制执行防护措施。主动性控制如CloudFormation Hooks和Terraform集成可以在部署前确保合规性。检测性控制如Amazon Config规则可以提供对资源配置的可见性，并实现自动化补救。
3. Amazon CloudTrail和CloudTrail Lake提供的审计功能可以全面记录和监控用户活动、API调用和资源变更。增强的事件过滤优化了日志摄取，而基于AI的仪表板和自定义视图则提供了可操作的洞见，以确保审计准备就绪。
4. 通过基础设施即代码(IaC)实现治理自动化，并利用Amazon Control Tower等托管服务可以加速采用，同时保持敏捷性。委派管理权限并实施左移实践可以让开发人员主动拥抱合规性。
5. Amazon Audit Manager通过自动化证据收集和简化内部及外部审计评估，促进了与行业标准、法规和内部政策的持续一致性。

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者。提供200多类广泛而深入的云服务，服务全球245个国家和地区的数百万客户。做为全球生成式AI前行者，亚马逊云科技正在携手广泛的客户和合作伙伴，缔造可见的商业价值 – 汇集全球40余款大模型，亚马逊云科技为10万家全球企业提供AI及机器学习服务，守护3/4中国企业出海。