AWS Control Tower 仍然是我们在多团队环境中管理 AWS 账户的首选工具。它提供了一个便捷的机制,可以预配置安全和合规控制,这些控制将自动应用于新的着陆区。这是 在变更点合规 的一个实例,因为这些控制在创建新基础设施时被应用和验证,消除了后续进行手动合规检查的需求。AWS Control Tower Account Factory for Terraform (AFT) 自我们上次使用以来不断发展,现在已在更多的 AWS 区域提供。AFT 允许通过基础设施即代码 流水线来创建 Control Tower 账户。我们喜欢 AFT 的定制化能力,它可以通过发送 webhooks 或采取特定操作,安全地与外部工具 GitHub Actions集成。我们的团队报告说使用 AWS Control Tower 管理账户效果很好,但我也希望 AWS 能接受社区对该项目的贡献,尤其是在我们发现改进机会时。
在 AWS 中,多团队的账户管理是一项挑战,尤其是在设置和治理方面。AWS Control Tower 通过简化设置和自动化治理来应对这个挑战,并通过防护措施应对监管要求。AWS Control Tower 内置了一个账户工厂,帮助自动化账户的配置流程。您可以通过账户工厂来取消账户托管、更新和关闭创建与配置的账户。由于其缺乏自动化和定制化,亚马逊引入了 Terraform 的 AWS Control Tower 账户工厂 (AFT) 。AFT 允许配置定制化的 Webhook 或特定操作,以便与其他工具集成来启动账户创建流程。我们的团队通过整合一组开箱即用的账户配置项,一劳永逸地为 GitHub Actions 的角色做了基础设置和访问权限的配置。这可为开发者提供一个完全集成 VPC 安全基线、可用于 GitHub Actions 接收工作负载的账户。我们的团队报告说,使用 AWS Control Tower 和 AFT 统一管理多个团队的账户非常方便。
多团队的账户管理在 AWS 中是一个挑战,特别是设置和管控方面;AWS Control Tower 试图解决这一挑战。据我们团队的报告,使用它在单一且集中的位置为组织中的多个团队进行账户管理和访问控制,取得了良好的效果。
