多账户环境的新治理功能

多账户环境的新治理功能

关键字: [Amazon Web Services re:Invent 2024， 亚马逊云科技， Declarative policies， Cloud Governance， Control Policies， Declarative Policies， Resource Control Policies， Network Activity Events]

导读

在本次会议中，探索新的治理控制和功能，帮助客户更有效地保护和管理其多账户环境。了解如何使用声明式策略在整个组织中设置基准服务配置。此外，学习如何使用资源控制策略大规模保护您的资源免受意外访问。

演讲精华

以下是小编为您整理的本次演讲的精华。

在不断演进的云计算领域中，亚马逊云科技一直在推动创新的边界，让组织能够充分利用云的潜力。在备受期待的亚马逊云科技 re:Invent 2024活动上，一场引人入胜的演讲揭示了云治理方面的突破性进展，推出了新功能，旨在简化和加强多账户环境。

演讲者Tim Honeychurch和Naveen Ravishankar首先强调了云治理在将组织的亚马逊云科技利用与其整体业务目标保持一致方面的关键作用。他们全面定义了云治理是一项关键任务，使组织能够加快实现既定目标的进程，同时保持严格的安全性、合规性和运营效率标准。

全球云治理主要专家Tim Honeychurch阐明了组织在云治理领域所面临的复杂挑战。他解释了在促进创新和保持强有力的控制机制之间需要保持微妙的平衡，这种平衡对许多企业来说一直是一个难题。监管合规性和遵守不断发展的行业标准成为了巨大的障碍，需要采取积极主动和敏捷的云治理方法。

此外，Honeychurch强调了为软件开发团队提供所需访问权限和资源以加快冲刺周期的重要性，同时坚持严格的治理协议。成本意识作为组织的一个永恒关注点也被强调为一个关键因素，凸显了审慎分配资源和管理支出的必要性。

效率作为有效云治理的基石，被视为一个至关重要的考虑因素，特别是在工具预算和人力资源有限的情况下。Honeychurch敏锐地观察到，资源的稀缺性往往加剧了实施和维护治理所面临的挑战。

为了说明采用亚马逊云科技云治理解决方案的切实好处，Honeychurch分享了客户Clearwater Analytics的一个成功案例，该公司利用了Amazon Organizations、Control Tower和控制策略。通过这一战略实施，Clearwater Analytics能够在精简团队的情况下管理资源增长了200%，同时为开发人员提供了一个“安全网”，促进了敏捷性和创新。

Amazon Organizations产品经理Naveen Ravishankar随后上台，揭示了2024年推出的两项突破性策略:声明式策略和资源控制策略。这些创新产品旨在解决与多账户环境相关的复杂挑战，并使组织能够以前所未有的精度和效率来管理其云资源。

EC2的声明式策略: Ravishankar将声明式策略引入为一种改变游戏规则的解决方案，使客户能够在其亚马逊云科技组织内的账户中声明和执行统一的配置基线。这一功能解决了组织长期以来维护一致配置的需求，同时降低了账户级管理员无意中更改关键设置的风险。

声明式策略的一个关键优势是能够大规模应用配置，这对于管理数千个账户的组织来说是一个福音。Ravishankar承认组织之前面临的挑战，例如跨账户运行活动、理解当前配置、管理多个服务、编写服务控制策略(SCP)来保护配置，以及持续监控变更。

声明式策略旨在直观且用户友好，采用类似英语的格式呈现，无需深入了解API或操作。Amazon Organizations将策略意图传播到相应的服务(如VPC)，然后执行所需的配置。Ravishankar通过现场演示展示了声明式策略的强大功能，他成功地使用声明式策略阻止了特定组织单元(OU)中VPC的公共访问。演示突出了自定义错误消息功能，为开发人员提供了透明的反馈，说明被阻止的操作及其原因。

资源控制策略: Ravishankar随后推出了资源控制策略，这是一种突破性的解决方案，使组织能够在整个亚马逊云科技组织中集中定义和执行资源的一致访问控制。这一创新产品解决了长期以来使用基于资源的策略来拒绝外部主体访问的挑战，这一过程之前需要持续监控并影响了创新的步伐。

资源控制策略充当了一种强大的预防性控制，使组织能够迅速果断地拒绝外部实体访问其数据，而不论账户数量或编辑策略的个人数量。在组织需要快速应对安全威胁或合规性违规时，这一能力尤为宝贵，确保外部实体被立即拒绝访问敏感资源。

Ravishankar强调，资源控制策略可以极大地促进开发团队以加速的步伐推进创新。通过消除不断监控基于资源的策略的需求，开发人员可以将精力集中在推动创新上，确信访问控制得到集中管理和执行。

为进一步阐明每种策略类型的适当使用场景，Ravishankar提供了全面的指导。对于控制对主体的访问，组织应该利用服务控制策略(SCP)。相反，当目标是控制对资源的访问时，资源控制策略是最佳选择。在需要跨服务执行默认配置或基线的情况下，声明式策略则成为首选。

转移话题，Tim Honeychurch深入探讨了可观察性工具领域，介绍了Amazon CloudTrail的一项突破性发展:网络活动事件。这一创新功能为组织提供了对穿越其VPC端点的流量的细粒度可见性，这是云治理领域长期以来的需求。

网络活动事件使组织能够实施更细粒度的访问控制和策略管理，让他们监控和管理外部实体(如安全供应商)在其VPC环境中的活动。Honeychurch演示了一个引人注目的用例，其中网络活动事件有助于识别需要临时授予安全供应商访问权限进行有限时间调查的特定VPC端点。

在整个演讲过程中，演讲者强调了云治理在实现创新、安全、合规性和运营效率之间的平衡方面的重要性。他们强调了这些新功能在帮助组织更有效地实现治理目标方面的关键作用，营造了一种环境，使敏捷性和控制能够无缝共存。

演讲者总结了这场引人入胜的演讲，鼓励与会者深入探索新的治理功能，参加相关会议，并分享在实施良好云治理实践方面的成功故事。他们公开邀请组织与亚马逊云科技合作，利用亚马逊云科技团队的专业知识和支持，解决多账户环境的复杂性，充分发挥这些突破性解决方案的潜力。

在不断演进的云计算领域，亚马逊云科技再次展现了其对创新和以客户为中心解决方案的承诺。声明式策略、资源控制策略和CloudTrail中的网络活动事件的推出，标志着通往健全云治理的征程迈出了重要的一步。随着组织采用这些新功能，他们有望实现前所未有的控制、可见性和效率水平，为云治理不再是障碍而成为创新和增长的催化剂铺平了道路。

下面是一些演讲现场的精彩瞬间：

Tim Honeychurch作为全球云治理的首席专家，在reInvent2024活动上介绍了自己。

亚马逊云科技旨在帮助企业以安全、合规和高效的方式快速实现其目标，克服治理挑战。

Clearwater Analytics利用Amazon Organizations、Control Tower和控制策略，使一个小团队能够处理200%更多的资源，并为开发人员提供独立性，让他们能够快速行动，同时保持安全防护。

Amazon Control Tower使您能够在不到30分钟的时间内快速设置一个安全的多账户亚马逊云科技环境，并预先配置了托管控制。

Amazon Organizations在组织单位中传播策略，确保客户意图在VPC和服务中得到一致执行。

亚马逊云科技推出了资源控制策略，这是一种集中管理机制，可以在整个组织范围内一致地管理访问控制，解决了职责分离等挑战，并实现了更快的创新。

总结

在这场精彩的会议中，Tim Honeychurch和Naveen Ravishankar揭开了亚马逊云科技令人兴奋的新治理能力，使组织能够高效安全地将其云使用与业务目标保持一致。重点亮点包括:

1. 声明性策略，这是一项革命性功能，允许组织在大规模范围内声明和实施所需的服务配置，简化治理并为开发人员提供透明的反馈机制。
2. 资源控制策略，实现了对整个组织资源的集中和一致的访问控制，提高了安全性，并通过消除持续监控的需求加速了创新。
3. Amazon CloudTrail中的网络活动事件，提供了对VPC端点流量的细粒度可见性，指导策略更新，并为特定用例(如安全评估)提供受控访问。

该会议通过现场演示和真实案例展示了这些功能的实际应用，彰显了亚马逊云科技为客户提供高效、安全和敏捷的云治理解决方案的承诺。与会者被鼓励探索这些新功能，设想组织内的成功案例，并提供宝贵反馈以塑造未来的增强。

1. 主讲人强调了在创新和控制之间保持平衡的重要性，解决合规性挑战，实现开发人员的敏捷性，管理成本，并通过这些新产品克服治理复杂性。
2. 他们强调了客户成功案例，展示了组织如何利用亚马逊云科技治理服务高效扩展资源，在安全网络下为开发人员提供独立性，并使云使用与业务目标保持一致。会议最后呼吁与会者采用这些新的治理功能，并在未来的活动中分享他们的成功故事。

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者。提供200多类广泛而深入的云服务，服务全球245个国家和地区的数百万客户。做为全球生成式AI前行者，亚马逊云科技正在携手广泛的客户和合作伙伴，缔造可见的商业价值 – 汇集全球40余款大模型，亚马逊云科技为10万家全球企业提供AI及机器学习服务，守护3/4中国企业出海。