本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 构建登录区
您可以通过几个选项在 AWS 上创建您的登录区。您可以选择托管服务来协调您的环境,亦可与合作伙伴合作构建自己的环境。AWS 提供 [AWS Control Tower](https://aws.amazon.com/controltower/),一项托管服务。建议所有用户都从 AWS Control Tower 开始。然而,了解每种方法的差异和功能对于您为组织做出最佳决策而言非常重要。
AWS 登录区的选项:
+ AWS Control Tower
+ 定制登录区
交付机制:
![\[AWS Control Tower 与自定义登录区之间的区别。\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/migration-aws-environment/images/landing-zone.png)
每种方法的优点和权衡措施:
| 解决方案 | 优势 | 权衡措施 |
| --- | --- | --- |
| AWS Control Tower | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/migration-aws-environment/building-landing-zones.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/migration-aws-environment/building-landing-zones.html) |
| [AWS Organizations](https://aws.amazon.com/organizations/) 使用客户或合作伙伴构建的定制解决方案 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/migration-aws-environment/building-landing-zones.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/migration-aws-environment/building-landing-zones.html) |
所有多账户环境产品均由 AWS Organizations AWS Organizations ,为您构建和管理您的 AWS 环境提供支底层基础架构和功能。借助 AWS Organizations,您可以参考 AWS 提供的多账户策略指导,自行定制能够最适合您业务需求的环境。如果您是现有客户,并且对当前的 AWS Organizations 实施感到满意,则应继续运营当前的 AWS 环境。
## AWS Control Tower
AWS Control Tower 作为 AWS 托管服务运行。在寻找立即可用的预打包环境解决方案时,您可以使用 AWS Control Tower 来获得规范指引和完全托管的环境。该服务根据多账户最佳实践设置一个登录区,集中管理身份和访问权限,并建立预先配置的安全和合规监管规则。
![\[AWS Control Tower 设置中包含 AWS 服务。\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/migration-aws-environment/images/aws-control-tower.png)
AWS Control Tower 使用最佳实践、身份蓝图、联合访问和账户结构自动设置新登录区。于 AWS Control Tower 实施的一些蓝图包括:
+ 使用 AWS Organizations 的多账户环境
+ 使用 AWS Identity and Access Management (IAM) 及 AWS IAM Identity Center 进行跨账户安全审计
+ 使用身份中心默认目录进行身份管理
+ 来自 AWS CloudTrail 及 AWS Config 并存储于 Amazon Simple Storage Service (Amazon S3)的集中日志记录
控制机制是为您的整个 AWS 环境提供持续治理的高级规则。控制机制可以是预防性的,也可以是侦测性的。预防性控制机制使用服务控制策略(SCP)来实施,该策略是 AWS Organizations 的一部分。检测性控制机制使用 AWS Config 规则实施。AWS Control Tower 控制机制的示例包括:
+ 禁止为根用户创建访问密钥
+ 禁止通过 RDP 连接 Internet
+ 禁止对 S3 存储桶进行公共写入访问
+ 禁止未绑定至 Amazon Elastic Compute Cloud (Amazon EC2) 实例的 Amazon Elastic Block Store (Amazon EBS) 卷
**注意**
AWS Control Tower 是登录区的起点。在构建登录区时,您需要根据自己的独特要求来确定您的联网、访问管理和安全策略。
## 定制登录区
您可以选择为自己构建定制登录区解决方案。在这种情况下,您必须实施基准环境才能开始身份和访问管理、治理、数据安全、网络设计和日志记录。如果您想从头开始构建所有环境组件,或者您的要求只有自定义解决方案才能支持,我们建议您采用这种方法。解决方案部署后,您必须对 AWS 具备足够的专业知识来管理、升级、维护和操作解决方案。
## 推荐方法
我们建议您开始使用 AWS Control Tower 构建登录区。AWS Control Tower 可帮助您构建最初的规范性登录区配置,使用开箱即用的控制机制和蓝图,以及使用 [AWS Control Tower 账户工厂](https://docs.aws.amazon.com/controltower/latest/userguide/account-factory.html)创建新账户。
在设置过程中,可以从 AWS Control Tower 控制台自定义登录区。有关详细信息,请参阅 [AWS Control Tower 文档](https://docs.aws.amazon.com/controltower/latest/userguide/customize-landing-zone.html#console-customize)。设置基础登录区后,请使用以下选项之一进一步优化和自定义:
+ 使用 AWS Control Tower 自定义项(CfCT),其通过 CloudFormation 模板和服务控制策略(SCP)提供广泛的自定义选项。有关更多信息,请参阅 [AWS Control Tower 文档](https://docs.aws.amazon.com/controltower/latest/userguide/cfct-overview.html)。
+ 使用登录区加速器(LZA)优化登录区,使其与合规性框架保持一致。有关更多信息,请参阅 [LZA 实施指南](https://docs.aws.amazon.com/solutions/latest/landing-zone-accelerator-on-aws/solution-overview.html)。