亚马逊云科技治理与合规新动向

关键字: [Amazon Web Services re:Invent 2023, Amazon Control Tower, Governance, Compliance, Control Tower, Amazon Config, Cloud Trail Lake]

本文字数: 1800, 阅读完需: 9 分钟

视频

如视频不能正常播放，请前往bilibili观看本视频。>> https://www.bilibili.com/video/BV1jb4y137cD

导读

当您建立一个针对治理和合规性进行优化的环境，这有助于您提高生产力和运营效率，反过来又能使您专注于实现业务成果并节省时间和成本。参加本讲座，您将了解到亚马逊云科技在治理和合规性领域的创新和最近的产品发布，以及如何使用它们来解决各种挑战。

演讲精华

以下是小编为您整理的本次演讲的精华，共1500字，阅读时间大约是8分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。

一位演讲者分享了他年轻女儿对滑板热情的个人轶事。如同许多六岁的孩子一样，她与朋友们在斜坡上比赛，并在邻居家表演技巧。尽管父亲鼓励她，但她仍拒绝佩戴头盔和护膝等保护装备。一天，没有佩戴安全设备外出骑行时，她摔倒了，摔伤了膝盖，导致两周无法玩耍。这个痛苦的经历让她明白，安全装备并未减缓她的速度，反而让她在无须在担心受伤的情况下自信地骑行。

演讲者将这个故事与云计算治理的重要性进行对比。恰当的治理并不会阻碍创新和进步。相反，它给开发人员和团队带来安全感，让他们能够快速构建和尝试新事物，而不必担心安全漏洞或法规不合规的问题。正如安全装备让孩子可以在不担心受伤的情况下自信地玩滑板一样，完善的治理原则为团队在云中快速安全地创新提供了必要保障。

在转向主题演讲时，演讲者引入了三位虚构的代表性角色来帮助观众理解关于亚马逊云科技治理能力的话题。理查德是一名云架构师，负责领导公司采用亚马逊云科技并选择合适的工具和服务。玛丽亚是一名云操作经理，关注日常运营，如监控工作负载、解决问题和收集数据。尼基是一名合规经理，负责遵守跨账户监管标准并生成审计报告。大多数观众可能在自家公司中与这些角色的某些方面产生共鸣。

首先,演讲者探讨了云计算架构师Richard the Cloud Architect在构建治理过程中可能面临的一些挑战。由于云计算可以在全球范围内迅速创建资源，且不受物理数据中心的限制，因此需要重新审视传统的治理方法。为应对未来的变化，设计灵活的架构以适应从数十个账户扩展到数百个账户的环境同样重要。最后，将治理工具与身份提供者、监控系统以及其他现有解决方案相结合而非替换现有系统至关重要。

接下来，演讲内容涉及到了共享责任模型如何协助明确亚马逊云科技Amazon Web Services负责底层云的安全，包括硬件、网络和虚拟机监控程序，而客户则负责保护部署在云端的工作负载和数据。理解这一区分有助于将治理工作聚焦在客户应承担的责任上。

谈及云计算治理的起步，重点推荐了一个核心服务：亚马逊云科技Amazon Web Services Control Tower。Control Tower可自动配置并持续管理一个符合亚马逊云科技Amazon Web Services最佳实践的、安全的多账户环境。其主要功能包括：

• 配置着陆区，包含帐户、组和规则
• 启用预定义的控制
• 自动化新帐户所需的配置过程
• 集中管理所有账户的身份、访问和日志记录

2022年的一个重要增强功能是在全球范围内的28个亚马逊云科技Amazon Web Services商业区域以及2个美国GovCloud区域扩展Control Tower的服务范围。这使得更多位于全球各地的数据中心托管的工作负载得到了更好的治理支持。

最后，强调了新的集成功能对满足Richard与现有系统无缝集成需求的重要性。如今，Control Tower允许使用第三方身份提供者（如Okta）进行联邦访问，而不仅仅局限于亚马逊云科技Amazon Web Services的本地身份选项。这样一来，无需删除默认组并重新构建权限，便可实现外部身份来源的集成。

最终，Landing Zone API的推出使得Richard能够实现基础设施即代码以及自动化环境设置。这些API可以通过编程方式创建新的Control Tower Landing Zone，重置已偏离原始配置的现有Landing Zone，更新到最新的Landing Zone版本，或删除不再需要的Landing Zone。合作伙伴强调，使用这些API可以在客户账户之间一致地配置合规的Landing Zone。

玛丽亚，一位经验丰富的云操作管理人员，面临着可扩展治理和运营的需求。她的主要需求包括快速检测和补救风险、从不同来源汇总审计日志数据以及轻松分析大型数据集以获取安全见解。

亚马逊云科技Config被认为是一个核心服务，通过其资源清单、配置历史和监控功能来实现合规性。新特性如排除规则和定期记录为Maria的临时工作负载提供了更详细的控制，指定在特定账户中排除EC2实例而不是手动维护排除列表。这防止了过度跟踪像容器这样的快速配置资源。

定期记录是另一个关键新功能，允许玛丽亚定期每天或每周清查资源，而不仅仅是持续跟踪。这对于临时工作负载来说非常有用，因为记录每次更改的价值并不大。

为了汇总和分析日志数据，CloudTrail Lake被视为一个完全管理的解决方案，准备数据以供查询。支持摄入第三方数据，如CrowdStrike端点日志，允许更广泛的关联和调查。

与Athena的新集成使玛丽亚能够将CloudTrail API活动数据与其他Athena查询数据集(如费用报告)结合在一起，以获得更丰富的工作。例如，她可以确定导致亚马逊云科技支出峰值的用户操作。

优化定价模型后，Maria现在可以应对较短的数据保留情况，最短可达1年，而非之前的7年。这对于1TB的CloudTrail日志来说，成本将降低70%，从每年2560美元降至仅768美元。

随着组织扩展到数百个账户和数万个资源，Maria在Config和CloudTrail湖之间的管理变得更加轻松，使得她能够更好地满足运营、风险管理和合规需求。

合规经理Nikki面临着两个主要挑战：遵循不断发展的合规要求，并收集证据以证明其遵从性。复杂且不断变化的法规以及分布式多帐户环境使这变得越来越困难。然而，亚马逊云科技的一些新功能可以帮助她解决这些问题。

首先，对于管理亚马逊云科技服务的底层合规性，Nikki可以利用亚马逊云科技Artifact来访问所有亚马逊云科技服务的实时审计报告和详细的合规文件。此外，新功能如电子邮件通知和简化的第三方报告访问，简化了她的持续监控过程。

其次，为了在保持合规的同时释放创新，讨论了Audit Manager作为解决方案。Audit Manager不断收集Nikki帐户中的证据，并为内部利益相关者和外部审计师生成评估报告。一个新的框架提供了一套专门针对生成式AI服务（如SageMaker）的110个控制项。

最后，关于数字主权问题，新的Control Tower功能为Nikki的加密、数据居留权、访问控制和恢复等方面提供了更强大的基础。

65个新的控制项扩充了Nikki对这些领域的管理范围，使得针对数字主权的预定义控制总数超过了245个。区域限制的精细定制也提高了Nikki对数据的本地控制能力。例如，Nikki现在可以指定她的欧洲账户只能在欧洲地区创建资源，而北美账户则仅限于北美地区。这样实现了精确的数据居住地控制。总的来说，Nikki可以利用亚马逊云科技不断扩展的本地服务和功能集来满足合规需求，同时支持创新。例如，Control Tower、Audit Manager和Artifact等服务大大简化了跨账户和地区的复杂监管要求的管理。

总结：

回顾如何将亚马逊云科技的治理、运营和合规解决方案映射到常见的人物和用例中，我们可以发现基础服务（如亚马逊云科技控制塔、配置和CloudTrail Lake）中的新功能有助于应对在云中安全地获取和证明合规性方面的新挑战。良好的云治理让像Richard这样的构建者和创新者能够快速安全地实验，同时也为像Maria和Nikki这样的运营和合规团队提供了管理大规模风险和需求的工具。正如安全装备让孩子有信心探索他们的滑板车的功能一样，良好的治理原则使公司能够安全地探索云的全部可能性，并放心地进行创新。亚马逊云科技提供了最强大的云治理服务集，这些服务随着客户的需求增长而增长，赋予每个团队成员创新的自由。

下面是一些演讲现场的精彩瞬间：

领导者讲述了一个关于他年轻女儿热爱骑滑板车并展示技巧的私人故事。

通过共享责任模型，客户可以更好地理解在使用亚马逊云科技云服务时如何专注于安全防护。

如今，亚马逊云科技 Config 提供了定期资源记录，为客户在追踪资源方面提供了更多的灵活性。

领导者谈到了亚马逊云科技 Config中的高级查询功能，该功能允许用户编写SQL查询来分析跨账户和区域的资源配置。

合规经理Nicky面临着确保和证明多个账户和业务部门的合规性的挑战。

亚马逊云科技推出了一个关于亚马逊SageMaker上生成性人工智能的最佳实践框架，旨在提供准确性、公平性、适应性等方面的控制。

领导者对观众的参与表示感谢，并表示已经了解了新的治理和合规产品。

总结

视频探讨了亚马逊云科技如何协助客户构建云计算治理体系，以确保其应用与业务目标保持一致。该视频强调了简化治理、实现创新以及确保合规性等方面的新功能。

演讲主要关注了三个关键角色：云架构师、云运营经理和合规经理。对于云架构师，亚马逊云科技的控制塔（Control Tower）提供了一个基于最佳实践的安全多账户环境。新区域的可用性和集成功能降低了采用的障碍。云运营经理可以使用亚马逊云科技的Config进行大规模的资源追踪和漂移检测。CloudTrail Lake则提供了对审计数据的轻松审查。最后，合规经理拥有了新的工具，如控制塔中的可自定义区域控制以及审计管理员中的合规框架。这些工具有助于展示遵守涉及数据主权、最新技术如人工智能以及不断发展中的合规标准的规定。

总之，亚马逊云科技致力于在让建设者能够快速安全地创新的同时，提供全面的治理。最新的功能减少了复杂性并节省了治理方面的时间。客户可以专注于创造价值，同时确信亚马逊云科技将帮助他们管理风险、安全和合规问题。

演讲原文

https://blog.csdn.net/just2gooo/article/details/135120253

想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！

2023亚马逊云科技re:Invent全球大会 - 官方网站

点击此处，一键查看 re:Invent 2023 所有热门发布

即刻注册亚马逊云科技账户，开启云端之旅！

【免费】亚马逊云科技“100 余种核心云服务产品免费试用”

【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”

亚马逊云科技是谁？

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者，自 2006 年以来一直以不断创新、技术领先、服务丰富、应用广泛而享誉业界。亚马逊云科技可以支持几乎云上任意工作负载。亚马逊云科技目前提供超过 200 项全功能的服务，涵盖计算、存储、网络、数据库、数据分析、机器人、机器学习与人工智能、物联网、移动、安全、混合云、虚拟现实与增强现实、媒体，以及应用开发、部署与管理等方面；基础设施遍及 31 个地理区域的 99 个可用区，并计划新建 4 个区域和 12 个可用区。全球数百万客户，从初创公司、中小企业，到大型企业和政府机构都信赖亚马逊云科技，通过亚马逊云科技的服务强化其基础设施，提高敏捷性，降低成本，加快创新，提升竞争力，实现业务成长和成功。