AWS Cloud Foundations （Landing Zone 解决方案）

架构图

01-总体架构图

管理账号：包含一个 Amazon Organizations 组织或虚拟组织以及必要的 Amazon Identity and Access Management (Amazon IAM) 功能角色。

基础账号：集中管理 Amazon Systems Manager 参数库，Amazon Simple Notification Service (Amazon SNS) 主题，Amazon CodePipeline 流水线， Amazon CodeBuild 构建项目和 Amazon CodeCommit 代码存储库。包含 Amazon Step Functions 部署和销毁状态机，Amazon Service Catalog 账户工厂、流水线工厂和存储库工厂产品，实现基础设施即代码的自动化管理。

安全账号：集中管理 Amazon Key Management Service 客户密钥。包含服务控制策略和标签策略亚马逊云科技中国区域替代方案。通过 Amazon GuardDuty 和 Amazon Security Hub 提供安全增强模块。通过 Amazon Fargate 集成最新的 KeyCloak 提供用户联合认证。通过 Amazon AppSync 提供用户运维界面后端。

日志账号：集中管理 Amazon Simple Storage Service (Amazon S3) 存储桶，存储包括 Amazon CloudTrail, Amazon Config, Amazon GuardDuty, Amazon Virtual Private Cloud (Amazon VPC) 流，负载均衡器等日志。包含 Amazon OpenSearch Services 域搜索和展示日志。包含 Amazon CloudFront 分发用户运维界面前端。

网络账号：集中管理 Amazon VPC 及其附属资源，如子网，安全组，路由表，接口终端节点，互联网关，网络地址转换网关，Amazon Transit Gateway 中转网关和 Amazon Route 53 私有托管区。通过 Amazon PrivateLink 安全地提供私有连接。通过中转网关实现网络联通隔离的整体规划与一键部署。

成员账号：基于亚马逊云科技推荐的最佳实践逐项进行加载和配置。其他区域：部署并治理其他亚马逊云科技区域。通过中转网关对等连接实现跨区域网络联通。

02-多账户与组织结构

Cloud Foundations 基于 Amazon Organizations 即原⽣组织、虚拟组织、单账户组织或 AWS Control Tower 组织展开部署配置工作。除了创建组织的管理账户，Cloud Foundations 主要使用三个核⼼账户，即基础账户、安全账户、日志账户。根据需要，您可另设⼀个或数个网络账户，用以集中管理网络资源。

03-账户权限管理与访问控制

Cloud Foundations 基于最小授权原则预置数个管控角色和目录组，方便您安全地管控云上环境。

04-安全基线配置

客户密钥管理

开启可信服务并委派管理员

05-服务日志收集和集中存储

收集的服务日志包括：

Amazon CloudFront
Amazon CloudTrail
Amazon Config
Amazon GuardDuty
Amazon 负载均衡器
Amazon Macie
Amazon 系统管理器
Amazon VPC 流⽇志

所有桶适用同样的生命周期管理策略，主要涉及两项在部署时确认的指标。

默认值为： 100 天后转存至智能分层；

10 年后⽂件过期

共享网络联通

上图展示 5 个 VPC 和 2 张中转网关路由表的网络结构。其中开发子网共享至开发账户 1，生产子网共享至生产账户 1 和 2，日志子网共享至日志账户。开发、生产、日志 VPC 可以访问接⼝终端节点、网络地址转换 VPC，反之亦然。但是开发、生产、日志 VPC 之间不能互相访问。您可根据业务实际需求，参考中转网关⽂档，规划各 VPC 之间联通隔离管控措施，并通过中转网关路由表实施。