云治理的最佳实践

## 视频 <video src="https://dev-media.amazoncloud.cn/30-LibaiGenerate/31-LiBaiRebrandingVideo/COP318-Best_practices_for_cloud_governance-LBrebrandingWCaptionCN.mp4" class="bytemdVideo" controls="controls"></video> ## 导读 确定从何处开始、如何管理混合或管控环境，或者如何将整个组织装载到云上，都是一项挑战。在本讲座中，您可以了解到云治理中的最佳实践，以在亚马逊云科技上构建架构良好、可扩展的基础，包括权限管理、安全工作负载部署和环境治理的策略。发现亚马逊云科技从成功采用云的组织中获得的见解。 ## 演讲精华 <font color = "grey">以下是小编为您整理的本次演讲的精华，共1000字，阅读时间大约是5分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。</font> 建立安全的云计算基础：在迁移现有工作负载或启动新的云计算举措时，治理对于建立一个加固的云计算环境至关重要。这需要明确定义账户规划，加强账户安全性和网络控制，并使用亚马逊云科技的治理服务（如Control Tower）。 - 实现监管合规：治理对于满足重大监管合规要求，如HIPAA和PCI等，至关重要。亚马逊云科技通过如Control Tower等服务提供受管理的控制，以支持合规需求。 - 执行公司标准：治理有助于在整个组织内实施一致的公司政策。例如，要求对根用户启用多因素认证或将特定的高风险服务禁用。 - 驱动开发者的敏捷性：治理使得为开发者自动配置预配置的云计算环境并提供自助服务访问成为可能。这加速了开发者的速度。 Svetlana强调，有效的云计算治理需要将人员、流程和技术结合起来。许多企业都有一个云计算卓越中心团队，该团队汇集了这些关键要素，获得了行政赞助，并倡导最佳实践。以下是实施全面云计算治理的10个最佳实践： 1. 制定明确的云计算战略：确保云计算与组织的整体目标和愿景保持一致。 2. 设立专门的团队或角色：负责云计算治理，确保有专门的人员来推动和执行治理策略。 3. 采用模块化方法：将云计算治理划分为可重用的组件，以便于管理和扩展。 4. 制定详细的治理计划和基准：描述治理的目标、方法和度量标准。 5. 采用自动化工具和服务：提高治理效率和准确性，减少人工干预。 6. 监控和审计：定期评估云计算环境的性能和安全状况，确保符合治理要求。 7. 持续学习和改进：根据反馈和分析结果调整治理策略，以提高效果。 8. 与其他治理领域整合：如信息安全、风险管理和其他IT治理领域，确保一致性。 9. 鼓励员工参与：培训和支持员工了解云计算治理的重要性，鼓励他们积极参与。 10. 保持灵活和适应性：随着技术发展和业务需求的变化，不断更新和完善云计算治理策略。 1.将账户作为基本构建块：采用多账户方法进行安全隔离并避免账户限制。根据功能或合规需求将账户分组到组织单位（OU）中。 2.实现广泛的可视性：实施集中式日志记录，如使用CloudTrail和Config服务监控所有账户的用户活动和资源变更。CloudTrail Lake允许在CloudTrail事件上运行SQL查询。 3.自动化账户设置：使用服务目录和控制塔等工具标准化并自动化新账户的设置。控制塔可以根据特定需求定制账户。 4.应用最小权限访问：限制对强大管理账户的访问，强制使用临时凭据，并使用亚马逊云科技SSO集中访问控制。定期审查谁具有管理账户访问权限。 控制管理 5.通过策略即代码定义控制：使用可读性高的策略即代码语言，如CloudFormation Guard和Open Policy Agent,以促进代码审查和标准化。 6.将控制与框架对应：将控制与法规框架对应，如PCI和NIST,以展示合规性。控制塔可以与NIST、PCI、亚马逊云科技最佳实践和云控制矩阵等框架对应。 7.利用主动控制：利用服务控制策略（SCPs）和积极的Config规则在部署之前阻止配置错误。控制塔提供了超过120个主动控制。 8.持续监控控制：使用亚马逊云科技Audit Manager通过雏鸟和自动化的证据收集定期测试控制，以确保其有效性。 开发者云的治理 9.治理基础设施即代码：使用版本控制的基础设施即代码，以便开发人员保持一致性和可重复性。服务目录支持从批准的模板进行供应。 10.检测代码中的漏洞：提供像CodeWhisperer这样的工具来帮助开发人员在编写更安全的代码时减少错误。CodeWhisperer现在可以定制为公司特定的库和API。 克里斯塔·戈德曼详细解释了控制管理的过程。她概述了实现控制框架的过程：确定实现业务目标的具体政策，将政策映射到控制目标，将目标映射到法规框架，然后确定要激活的实际控制。 三种主要的控制策略包括使用Config规则进行合规性检查的检测控制，使用SCP阻止操作的防控控制，以及在部署前使用CFN Guard对模板进行验证的主动控制。这些控制策略可以通过人类可读的政策代码语言（例如CFN Guard）来定义，从而实现代码审查和标准化。将这些控制策略与诸如PCI和NIST等框架联系起来，以证明其合规性。Control Tower预装了多个框架的映射。优先考虑防控和主动控制策略，以便在部署之前阻止配置错误，而不仅仅是事后解决问题。Control Tower提供了100多种主动控制措施。需要持续监控和控制措施的验证，以确保它们随着法规的变化而保持有效。亚马逊云科技的Config和Audit Manager可以自动化证据收集。克里斯塔展示了一项新的区域拒绝控制，该控制将服务限制在指定的亚马逊云科技区域，以满足数据居留规定。此控制现在支持在OU级别限制访问。来自SPS Commerce的Troy Jordan分享了他们如何利用亚马逊云科技服务的10年云计算治理历程。标签对于分配资源和大规模实现治理至关重要。他们构建了一个名为Tagging Engine的集中式标签服务，以根据其Tech Registry系统的唯一ID自动标记资源。从单账户模式转向多账户模式可以提高安全性、成本透明度和访问控制。他们以前在几个账户中有30个团队，这导致了访问控制方面的挑战。他们使用一个使用亚马逊云科技Step Functions构建的状态机来自动化新账户的治理，包括Control Tower在内的14个不同的亚马逊云科技服务。利用Organizations、Control Tower和Service Catalog等服务来实现规模治理。他们现在在每个账户中部署35个自我管理的和18个服务管理的堆栈集。考虑异常情况和现有工作负载，避免对新工作负载的干扰。通过在部署时通知开发人员违规行为而非仅事后发现，将治理工作前移。这减少了对补救的需求。 总的来说，实现有效的云计算管理需要明确业务目标，利用亚马逊云科技服务制定必要策略和控制措施，并在组织变革过程中持续监测并优化治理。遵循这些最佳实践有助于构建一个安全、合规且灵活的云计算环境。 **下面是一些演讲现场的精彩瞬间：** 亚马逊云科技的领导者邀请观众来构建坚实的云计算治理基础，以保护其云环境并提高开发灵活性。  演讲者探讨了亚马逊云科技如何利用丰富的元数据和最新控制技术来实现跨区域的多服务项目。  亚马逊云科技的审计经理有助于自动执行控制测试并收集审计证据。  云操作团队负责管理数据库秘钥和密钥，从而简化交付团队在账户间共享秘密的过程。  通过Control Tower，亚马逊云科技摆脱了过去决策的束缚，开始了云计算治理的新篇章。  在制定治理策略时，应考虑规划异常情况，以便在不损害整个组织的前提下解决问题。  亚马逊云科技一直在努力改进其在部署过程中向开发者传达治理和控制要求的能力，以便更好地检测和解决安全问题。  ## 总结 视频详细介绍了如何建立有效的云治理最佳实践。强调使用账户作为构建模块，以实现隔离和管理影响范围。集中式日志记录和审计功能为用户活动和风险提供可见性。自动执行账户设置确保了一致性并减少错误配置的可能性。应用最小权限原则，仅限制所需的访问权限。 一些关键建议包括将策略作为代码进行定义并进行同行审查，与安全框架保持一致性，并利用预防性控制。监控和控制效果测试至关重要。对开发者而言，应将基础设施视为可重复的代码进行处理，并在早期发现漏洞。 通过实施多账户治理策略，SPS Commerce提高了安全性能，减少了影响范围，并简化了命名空间管理。如今，自动化供应只花费25分钟，而手动操作需要一周时间。为资源和账户添加标签有助于明确所有权归属。分层的治理模型将生产、非生产、遗留和收购环境分开处理。 ## 演讲原文 ## 想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！ [2023亚马逊云科技re:Invent全球大会 - 官方网站](https://webinar.amazoncloud.cn/reInvent2023/?s=8739&smid=19458 "2023亚马逊云科技re:Invent全球大会 - 官方网站") [点击此处](https://aws.amazon.com/cn/new/?trk=6dd7cc20-6afa-4abf-9359-2d6976ff9600&trk=cndc-detail "点击此处")，一键获取亚马逊云科技全球最新产品/服务资讯！ [点击此处](https://www.amazonaws.cn/new/?trk=2ab098aa-0793-48b1-85e6-a9d261bd8cd4&trk=cndc-detail "点击此处")，一键获取亚马逊云科技中国区最新产品/服务资讯！ ## 即刻注册亚马逊云科技账户，开启云端之旅！ [【免费】亚马逊云科技“100 余种核心云服务产品免费试用”](https://aws.amazon.com/cn/campaigns/freecenter/?trk=f079813d-3a13-4a50-b67b-e31d930f36a4&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技“100 余种核心云服务产品免费试用“") [【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”](https://www.amazonaws.cn/campaign/CloudService/?trk=2cdb6245-f491-42bc-b931-c1693fe92be1&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用“")