AWS 引入声明式策略，简化云资源配置管理

主要观点

AWS 最近推出了声明式策略，旨在帮助组织大规模定义和执行 AWS 服务的配置标准。该功能解决了客户在云资源配置标准化方面的常见挑战，例如阻止公开访问 Amazon EBS 快照。

关键信息

1. 功能概述：

   • 声明式策略允许用户轻松设置特定配置（如阻止 VPC 的公开访问），并在多账户环境中自动强制执行合规性。
   • 该功能确保即使引入新功能或 API，配置也能保持一致。

2. 优势：

   • 提供管理员对服务属性当前状态的可见性。
   • 允许管理员为最终用户定制错误消息，指导用户如何修复配置问题。
   • 新加入组织的账户会自动继承组织或账户级别的声明式策略。

3. 支持的服务：

   • 初始支持的服务包括 Amazon EC2、Amazon VPC 和 Amazon EBS。
   • 支持的属性包括强制使用实例元数据服务版本 2（IMDSv2）、允许通过串行控制台进行故障排除、设置允许的 Amazon 机器映像（AMI）配置，以及阻止 EBS 快照和 EC2 AMI 的公开访问。

4. 管理方式：

   • 可通过 AWS Organizations 控制台、AWS CLI、AWS CloudFormation 或 AWS Control Tower 创建和管理策略。
   • 策略可应用于组织、组织单位（OU）或单个账户级别。
   • 激活后，声明式策略会阻止任何不合规的操作，无论其是通过 IAM 角色还是服务链接角色发起。

5. 实际应用案例：

   • ABSA 集团在高度监管的环境中使用声明式策略，确保 VPC 阻止公开访问的设置不会被用户、服务链接角色或未来 API 改变。

6. 其他相关功能：

   • AWS 还推出了多账户同时登录功能，允许用户在一个浏览器中同时登录最多五个账户（根账户、IAM 或联合角色），提高了管理效率。

重要细节

• 发布范围：声明式策略现已在 AWS 商业区域、中国区域和 AWS GovCloud（美国）区域提供。
• 启动步骤：用户可通过 AWS Organizations 控制台选择“声明式策略”并定义配置。
• 文档资源：更多信息可参考 AWS 声明式策略文档。

总结

AWS 的声明式策略为组织提供了一种高效、自动化的方式来管理和强制执行云资源配置标准，显著简化了治理流程，并提高了合规性和安全性。