多帳戶治理是 DOP-C02 中價值最高的主題之一。現實世界的 AWS 環境擁有數十到數千個帳戶,考試會測試 AWS Control Tower 和 AWS Organizations 如何組合起來配置、建立基準並持續監控這些帳戶。領域 2.2(「建立、加入和保護 AWS 帳戶的自動化」)和領域 6.1(「大規模身分和存取管理」)都取決於確切瞭解 Organizations 啟用了什麼,Control Tower 在其之上增加了什麼,以及兩者之間的界限。
本指南假設您已使用過 Organizations 來整合帳單或套用基本的 SCP。DOP-C02 的重點在於:Control Tower 與 Organizations 的選擇、登陸區域 (Landing Zone) 組成部分(日誌、稽核、IAM 身分中心)、帳戶工廠 (Account Factory) 與 Account Factory for Terraform (AFT)、強制性 vs 強烈建議 vs 選用護欄、偵測式 vs 預防式 vs 主動式護欄、SCP 語義(Deny 中的預設拒絕,Allow 中的允許清單)、OU 設計模式、用於多服務治理的委派管理員、受信任存取,以及 Control Tower 所能管理和不能管理內容的明確限制。
為什麼多帳戶治理在 DOP-C02 中很重要
DOP-C02 明確將「建立、整合和集中管理帳戶(例如 AWS Organizations、AWS Control Tower)」列為領域 2.2 的技能。社群考試回報指出,多帳戶情境是區分首戰告捷與鎩羽而歸的三大關鍵之一。「團隊需要在 30 分鐘內販售出具備日誌、基準 IAM 角色和預算警示的新帳戶」 —— 這是帳戶工廠,而不是 Lambda + Organizations API。「團隊需要防止任何帳戶停用 CloudTrail」 —— 這是針對 cloudtrail:StopLogging 的 Deny 效果 SCP,而不是 Config 規則。「團隊需要偵測 S3 儲存貯體何時變為公開並進行修復」 —— 這是 Control Tower 偵測式 + 主動式護欄的組合,或 AWS Config 規則 + 修復動作。
考試還會測試 Control Tower 的範圍邊界:如果您在管理帳戶中已有現有的身分中心,Control Tower 將不會對其進行管理;它不會自動加入在帳戶工廠之外建立的帳戶;它無法將自定義服務部署到除了其自身足跡以外的稽核/日誌存檔帳戶。瞭解這些限制是正確答案與看似合理干擾項之間的區別。
- AWS Organizations:帳戶分組服務。提供整合帳單、OU、SCP、RCP(資源控制策略)、標籤策略、AI 服務退出策略以及 AWS 服務的受信任存取。
- 管理帳戶 (Management account):建立組織的帳戶;不能被針對它的 SCP 限制。
- 成員帳戶 (Member account):管理帳戶以外的任何帳戶。
- 組織單位 (OU):帳戶的階層式分組,可讓您將策略(SCP、標籤策略)附加到群組。
- 服務控制策略 (SCP):附加到組織根、OU 或帳戶的策略,用於設定成員帳戶中 IAM 主體所能獲得的最大權限;其本身從不授予權限。
- 資源控制策略 (RCP):2024 年推出的策略,用於設定對資源(如 S3 儲存貯體)的權限上限,無論調用主體在哪個帳戶中。
- AWS Control Tower:建構在 Organizations 之上的受管編排服務,販售具備內建基準、護欄和帳戶工廠的「登陸區域 (Landing Zone)」。
- 登陸區域 (Landing Zone):Control Tower 部署的腳手架:日誌存檔帳戶、稽核帳戶、IAM 身分中心設定、強制性護欄、預設 OU。
- 帳戶工廠 (Account Factory):Control Tower 透過 Service Catalog 販售新帳戶的機制,具備內建的基準和護欄加入功能。
- Account Factory for Terraform (AFT):帳戶工廠的 Terraform 擴充功能,支持按帳戶進行自定義和 GitOps 工作流。
- 護欄 (Guardrail):Control Tower 的控制項 —— 可能是 SCP(預防性)、Config 規則(偵測性)或 CloudFormation 勾點(主動性)。
- 受信任存取 (Trusted access):一項 Organizations 設定,允許特定的 AWS 服務代表管理帳戶在整個組織範圍內運作。
- 委派管理員 (Delegated administrator):被指定在組織範圍內管理特定服務的成員帳戶,消除了管理帳戶親自處理的需求。
- 參考:https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html
白話文解釋多帳戶治理
其機制可以很好地映射到現實世界的組織架構中。透過帳戶販售、策略邊界以及 Control Tower 與 Organizations 的區別這三個角度來理解。
類比 1:連鎖酒店物業階層
一家連鎖酒店經營 200 家物業。Organizations 是連鎖酒店的企業法人結構 —— 母公司擁有多個按地區劃分的子公司。每家物業都是一個成員帳戶。OU 是地區部門(北美、歐洲/中東/非洲、亞太)。管理帳戶是集團總部 —— 它可以接觸到每家物業,但沒人可以限制總部。
SCP 是連鎖酒店的品牌標準 —— 一條拒絕規則如「任何物業在凌晨 2 點後不得供應酒精飲料」,無論當地管理層如何,這條規則都鎖定了每家物業。品牌標準並未賦予物業做任何事情的權利;它只是防止了物業本可以做的事情。允許式 SCP 就像是核准的清潔化學品清單 —— 任何不在清單上的化學品都是禁止使用的。
Control Tower 是連鎖酒店標準化的開業手冊 —— 「每家新酒店都配備:預配置的前台系統、稽核攝像頭設定、品牌規定的門廳家具、員工證件所需的 IAM 身分中心,以及強制性護欄,如『禁止拆除安全攝像系統』」。您仍然可以自定義酒吧菜單(您的應用程式堆疊),但不能拆除攝像頭(強制性護欄)。
帳戶工廠是新物業開業套件 —— 一張表單,品牌化文書,一切都已內建。AFT 是 GitOps 版本,其中套件在版本控制的 Terraform 中描述,且每家新物業的自定義內容都在原始碼中追蹤。
類比 2:醫院網絡合規框架
一個醫院網絡運行 50 個設施。Organizations 是企業法人實體。管理帳戶是執行長辦公室。OU 是服務線分組(急診、門診、研究)。每家醫院都是一個成員帳戶。
SCP 是醫院網絡的法規底限 —— 「任何設施在未啟用 HIPAA 合規性的情況下不得運行」 —— 對 s3:DeleteBucketPolicy 的 Deny 相當於「任何設施不得拆除病人隱私門鎖」。RCP 是病患數據存取規則 —— 「無論哪位員工嘗試,外部方都不能讀取病患記錄」,這是一種資源端的上限。
Control Tower 是標準設施啟用協議 —— 稽核帳戶是中央合規辦公室,彙總所有發現;日誌存檔帳戶是醫療記錄檔案館,除了經核准的管道外,任何設施都不能寫入。強制性護欄是 JCAHO 認證的必備條件(不可停用)。強烈建議的護欄是最佳實踐無菌場操作協議(可以覆寫但會被記錄)。選用護欄是可選的研究模式合規檢查。
IAM 身分中心是中央證件簽發處 —— 每個員工一張證件,映射到每個設施的角色。委派管理員是區域合規官,獲准在整個組織範圍內執行特定合規領域(Security Hub, GuardDuty)的稽核,而無需擔任執行長。
類比 3:大學系所配置系統
一家大學有 80 個系所,每個系所有自己的學生、教職員。Organizations 是教務處的資料庫。OU 是學院(工程、藝術、醫學)。管理帳戶是教務長辦公室。
SCP 是全校性的學術政策 —— 「任何系所在未達到最低學分要求的情況下不得授予學位」。它們限制了系所的權力,但並不授予權力。Control Tower 是標準系所啟用包 —— 新系所預先配置了中央圖書館帳戶、IT 服務台帳戶以及強制性的無障礙護欄。帳戶工廠是系所啟用申請門戶 —— 提交表單,接收一個完整建立基準的帳戶。
受信任存取是教務處與財務處的數據共享協議 —— 教務處 (Organizations) 讓財務處服務 (Config 彙總器, GuardDuty 管理員) 在全校範圍內查看數據。委派管理員是合規院長,獲准執行全校範圍內的稽核而無需擔任教務長。
對於 SCP 語義(「限制而非授予」),醫院法規底限是最清晰的心法。對於 Control Tower 的強制性登陸區域組成部分,連鎖酒店開業手冊更直觀。對於 OU 設計和委派,大學系所系統最接近。參考:https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html
Organizations:基石
Organizations 為您提供組織樹、SCP、RCP、標籤策略和受信任存取。Control Tower 則在其之上構建。
OU 設計模式
AWS 白皮書「使用多個帳戶組織您的 AWS 環境」建議:
- 安全 (Security) OU:日誌存檔、稽核、安全工具。
- 沙盒 (Sandbox) OU:開發人員實驗帳戶,具備嚴格的支出上限和完整的護欄以防止數據外洩。
- 工作負載 (Workloads) OU:分為生產 (Production) OU 和非生產 (Non-Production) OU,具有不同的 SCP。
- 暫停 (Suspended) OU:正在關閉的帳戶檢疫區;SCP 拒絕除特定維護以外的所有動作。
- 策略預演 (Policy Staging) OU:在推廣前測試新 SCP 的地方。
按生命週期而非按團隊分配帳戶 —— 團隊會變動,生命週期階段則不會。
SCP 語義
SCP 與成員帳戶中的 IAM 策略進行邏輯「與 (AND)」運算。僅當 (a) IAM 策略允許、(b) 繼承鏈中的每個 SCP 都允許,且 (c) 沒有資源策略拒絕時,動作才被允許。
兩種 SCP 風格:
- 拒絕式 SCP:對特定動作進行明確的
Deny。預設的FullAWSAccess允許其餘所有內容。這是最常見的風格。 - 允許式 SCP:對特定動作進行明確的
Allow;其餘所有內容都會被隱含拒絕。請謹慎使用 —— 清單中漏掉某項服務會導致該服務失效。
SCP 僅限制成員帳戶中 IAM 主體所能獲得的最大權限。被 SCP 允許的動作仍需要帳戶中的 IAM 策略授予主體權限。許多考生假設 SCP Allow 會授予動作權限 —— 事實並非如此。參考:https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html
SCP 繼承
附加到組織根、OU 和子 OU 的 SCP 都適用。有效權限邊界是這些策略的交集。鏈條中任何地方的 Deny 都會勝出;必須在每一層都存在 Allow 動作才能通過。
管理帳戶不受 SCP 限制 —— 它們不適用於根。
受信任存取與委派管理員
受信任存取啟用一項服務(config.amazonaws.com、cloudformation.amazonaws.com、securityhub.amazonaws.com 等)在組織範圍內運作。管理帳戶為每項服務啟用一次。
委派管理員將特定服務的營運所有權委派給一個成員帳戶:該帳戶可以管理整個組織範圍內的該項服務,而無需成為管理員帳戶。截至 2026 年,大多數安全和治理服務都支持委派管理員:Security Hub, GuardDuty, Config 彙總器, Detective, Macie, Inspector, IAM Access Analyzer, CloudFormation StackSets, FMS, Audit Manager。
每項支持委派管理員的 AWS 服務都需要使用其特定的服務主體單獨調用 register-delegated-administrator。將帳戶 A 註冊為 Config 的委派管理員並不會賦予其 GuardDuty 的管理權限。許多考生假設存在一個單一的組織範圍管理帳戶;在實踐中,您通常會將其拆分為安全帳戶(安全服務)和網絡帳戶(Transit Gateway, Network Firewall, RAM)。參考:https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html
Control Tower:受管登陸區域
Control Tower 部署了一個具有偏好預設值的受管登陸區域。
登陸區域 (Landing Zone) 組成部分
當您設置 Control Tower 時,它會配置:
- 管理帳戶:Control Tower 本身運行的帳戶;您絕不能在此部署工作負載。
- 日誌存檔帳戶:接收 CloudTrail 組織追蹤日誌和 Config 快照;旨在實現「僅寫入」,稽核員具備唯讀權限。
- 稽核帳戶:託管安全工具的跨帳戶角色、護欄違規的 SNS 主題,通常是委派管理員服務的所在地。
- 基礎 OU:
Security(包含日誌存檔和稽核)、Sandbox(預設)。 - IAM 身分中心:具備預設權限集(
AWSAdministratorAccess、AWSPowerUserAccess、AWSReadOnlyAccess等)。 - CloudTrail 中的組織追蹤:寫入日誌存檔儲存貯體。
- 組織範圍的 Config 彙總器:在稽核帳戶中。
- 預設強制性護欄:SCP 與 Config 規則。
帳戶工廠 (Account Factory)
帳戶工廠作為管理帳戶中的 Service Catalog 產品公開。販售新帳戶的流程:
- 透過 Service Catalog 提交請求(名稱、OU、電子郵件、可選的 VPC 配置)。
- 帳戶工廠建立帳戶,將其放入選定的 OU,並套用護欄。
- 設置基準 IAM 身分中心權限集分配。
- 可選:使用配置的 CIDR 配置預設 VPC。
對於複雜的基準(自定義角色、啟用 GuardDuty、基準 Config 規則),請使用 Customizations for Control Tower (CfCT) 或 Account Factory for Terraform (AFT):
- CfCT:基於 CloudFormation,透過 StackSets 部署販售後的堆疊。
- AFT:基於 Terraform 的 GitOps;每個帳戶都有一個自定義儲存庫。
護欄類型與行為
護欄有三種行為:
- 預防性:作為 SCP 實施。在 API 調用時封鎖動作。例如:「禁止在未啟用伺服器端加密的情況下建立 S3 儲存貯體」、「禁止刪除 CloudTrail」。
- 偵測性:作為 Config 規則 + CloudWatch 事件實施。報告非合規性但不封鎖。例如:「偵測未啟用 IMDSv2 的 EC2 執行個體」。
- 主動性:作為 CloudFormation 勾點實施。在合成/部署時驗證 CloudFormation 模板,並在非合規資源建立之前將其拒絕。
以及三個類別:
- 強制性:套用於每個 OU 中的每個帳戶;無法移除。
- 強烈建議:AWS 精選的最佳實踐;可選擇加入。
- 選用:視情況而定的控制項。
強制性護欄(例如「禁止更改 CloudTrail 組織追蹤」)是 Control Tower 契約的一部分。嘗試停用它們會破壞登陸區域。如果某個工作負載確實無法在強制性護欄下運行,解決方法是將該工作負載移動到 Control Tower 管理的 OU 之外 —— 而不是停用護欄。參考:https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html
Control Tower 中的漂移 (Drift)
Control Tower 偵測登陸區域漂移:在 Control Tower 外部修改的 SCP、手動重新命名的 OU、刪除的 IAM 身分中心。修復方法是從 Control Tower 主控台進行一鍵式登陸區域基準重置。嚴重的漂移可能需要先手動清理,然後基準重置才能成功。
IAM 身分中心 (IAM Identity Center)
IAM 身分中心是 Control Tower 偏好的身分識別服務:
- 身分來源:身分中心目錄(內建)、Active Directory(透過 AD Connector 或受管 AD)或外部 IdP (Okta, Azure AD) 透過 SAML 2.0。
- 權限集:IAM 策略的集合(受管 + 內嵌 + 許可邊界)。分配給(使用者或群組,帳戶)對。
- 工作階段認證:使用者透過身分中心入口網站開始工作階段;身分中心在目標帳戶中假設一個角色並核發短期認證。
對於 DOP-C02 情境,身分中心取代了按帳戶設定的 IAM 使用者;「組織希望集中式 SSO 且具備對 50 個帳戶的角色型存取」即對應到身分中心。
Control Tower vs Organizations 的選擇
| 需求 | 選擇 |
|---|---|
| 僅需整合帳單 | Organizations |
| 僅需 OU 樹 + SCP | Organizations |
| 預建的具備稽核/日誌存檔的登陸區域 | Control Tower |
| 具備自我服務販售功能的帳戶工廠 | Control Tower |
| 開箱即用的精選護欄 | Control Tower |
| 現有的複雜 IAM 身分中心設定 | Organizations + 自定義(Control Tower 可能會衝突) |
| 第一天開始的綠地多帳戶環境 | Control Tower |
| 現有複雜組織的遷移 | Organizations + 選擇性 Control Tower 加入 |
Control Tower 的設置有其限制:沒有現有的複雜 IAM 身分中心配置、沒有與 Control Tower 追蹤衝突的現有組織追蹤、沒有重疊的 OU 名稱。對於舊環境遷移,通常路徑是僅使用 Organizations 搭配基於 StackSet 的自定義基準,或者分階段僅將新 OU 加入 Control Tower。參考:https://docs.aws.amazon.com/controltower/latest/userguide/setting-up.html
決策樹 —— 何時選擇哪種工具
對於 DOP-C02 情境題目,多帳戶治理決策樹呈現四種形態。綠地 + 標準護欄: 使用預設登陸區域的 Control Tower 是實現合規基準最快的路徑。綠地 + 定製 OU 模型: 直接使用 Organizations 搭配手動維護的 SCP 和 StackSet 基準;代價是需要自行負責營運。舊環境 + Control Tower 兼容: 將新 OU 加入 Control Tower,保留僅受 Organizations 治理的舊 OU,然後逐步遷移。舊環境 + 不兼容: 留在 Organizations,建立符合您慣例的 SCP 和 StackSet 基準,並在下次重大重組時重新評估 Control Tower。
考試經常會設下圈套,讓考生選擇 Control Tower,但舊環境其實是不兼容的。請留意訊號:現有的 IAM 身分中心配置、多個相互競爭的 CloudTrail 追蹤、與 Control Tower 預設 OU 衝突的客戶特定 OU 名稱。每一項都是 Control Tower 將與現有設置發生衝突的旗標。應根據限制條件而非便利性來匹配工具。
常見陷阱 (Common Pitfalls)
- 假設 SCP 會授予權限:SCP 僅起限制作用。使用者仍需要 IAM 策略來授予動作。
- 使用允許式 SCP 卻未列出所有需要的服務:任何不在允許清單中的服務都會被隱含拒絕。除非確實需要允許清單,否則請使用拒絕式 SCP。
- 忘記管理帳戶不受 SCP 限制:在管理帳戶中測試 SCP 總是會顯示通過 —— 請在成員帳戶中測試。
- 嘗試停用強制性護欄:這是做不到的;請將工作負載移動到 Control Tower 之外的 OU,或接受此限制。
- 單一委派管理員處理所有事情:每項服務都需要使用其特定的服務主體單獨註冊。
- 將 Control Tower 視為單向門:您可以將其解除,但稽核和日誌存檔帳戶的清理並不簡單;生產環境的回滾可能需要數天。
- 忘記帳戶工廠不會追溯性地為現有帳戶建立基準:在 Control Tower 之前建立的帳戶必須手動加入;加入後透過 Service Catalog 建立的帳戶會獲得完整基準。
FAQ
Q1:我何時應該偏好單獨使用 Organizations 而非 Control Tower?
當您擁有現有的複雜多帳戶環境,且與 Control Tower 規定的登陸區域(自定義 IAM 身分中心、複雜的 CloudTrail 追蹤、非標準 OU)發生衝突時,或者當您需要對 AWS 選擇預設值的每個組件進行精細控制時。純粹的 Organizations 為您提供 SCP、OU、受信任存取、委派管理員 —— 所有這些策略原語 —— 而沒有規定的架構。
Q2:當我啟用 Control Tower 時,現有的帳戶會發生什麼?
Control Tower 從一個全新的登陸區域開始(建立新的日誌存檔和稽核帳戶、預設 OU)。現有帳戶不會自動加入。您需要透過 Control Tower 主控台一次加入一個;加入會將它們移動到 Control Tower 管理的 OU 下並套用護欄。帳戶不能處於衝突狀態(例如,已運行與 Control Tower 追蹤同名的自定義 CloudTrail)。
Q3:我可以獨立於 Control Tower 帳戶工廠使用 Service Catalog 嗎?
可以。Service Catalog 是一個用於治理自我服務啟動的通用服務;帳戶工廠是一個特定的產品。您可以擁有一個用於 VPC、RDS 執行個體、EKS 叢集等的 CloudFormation 模板 Service Catalog 組合,完全獨立於 Control Tower。
Q4:RCP 與 SCP 有何不同?
SCP 限制主體權限 —— 成員帳戶中的 IAM 使用者/角色可以做什麼。RCP 限制資源權限 —— 任何調用者(包括外部帳戶)對該帳戶擁有的資源可以做什麼。RCP 對於封鎖 SCP 無法觸及的跨帳戶存取漏洞非常有用(例如,即使儲存貯體策略允許,也防止外部方讀取 S3 儲存貯體)。
Q5:SCP 可以套用於特定的標籤或條件嗎?
可以。SCP 使用標準的 IAM 策略語言,包括 Condition 區塊。常見模式:aws:ResourceTag/Environment、aws:RequestTag、aws:PrincipalTag。這實現了以屬性為基礎的控制模式,例如「除非請求包含 CostCenter 標籤,否則拒絕在生產 OU 中啟動 EC2」。
Q6:Control Tower 與 AWS Config 之間的關係是什麼?
Control Tower 在稽核帳戶中部署了一個組織範圍內的 Config 彙總器,加上實施偵測式護欄的 Config 規則。偵測式護欄是 AWS Config 受管規則 + 自定義規則。Control Tower 擁有其部署的規則;只要不發生衝突,您可以獨立添加額外的 Config 規則。
Q7:我如何從非 Control Tower 組織遷移到 Control Tower?
步驟 1:驗證 Control Tower 前提條件(無衝突的 CloudTrail 追蹤、無現有複雜的 IAM 身分中心等)。步驟 2:在管理帳戶中設置 Control Tower;它會建立新的日誌存檔和稽核帳戶。步驟 3:透過帳戶工廠加入程序,一次一個 OU 地加入現有帳戶。步驟 4:將工作負載從任何現有的日誌存檔/稽核帳戶遷移到 Control Tower 管理的帳戶。許多大型環境會花數月時間完成此過程,並與帳戶所有者就新護欄執行時間表進行明確溝通。
總結
DOP-C02 中的多帳戶治理是 Organizations 與 Control Tower 的結合,並以 IAM 身分中心作為人員存取界面。Organizations 提供策略原語(OU、SCP、RCP、受信任存取、委派管理員);Control Tower 交付規定的登陸區域(日誌存檔、稽核、強制性護欄、帳戶工廠)。對於具有衝突前提條件的舊環境,請選擇單獨使用 Organizations;對於綠地環境或當您想要規定的架構時,請選擇 Control Tower。記住 SCP 語義(「限制而非授予」、「任何地方的拒絕都會勝出」)、護欄行為(預防性/偵測性/主動性)和類別(強制性/強烈建議/選用),以及受信任存取和委派管理員的按服務特性。掌握了這些,多帳戶情境題目就能迎刃而解。