- 首页›
- 亚马逊云科技解决方案›
- Cloud Foundations
Cloud Foundations
Cloud Foundations 是一个亚马逊云科技解决方案,通过提供生产就绪的多账户云环境,具备全面的治理、安全和运营能力,从而转变企业上云路径。
简介
Cloud Foundations 是一个亚马逊云科技解决方案,通过提供生产就绪的多账户云环境,具备全面的治理、安全和运营能力,从而转变企业上云路径。 基于亚马逊云科技 Cloud Foundations 白皮书构建,通过自动化基础设施即代码部署实现 30 个基本云能力,包括通过账户工厂进行集中账户管理、使用 Amazon Config 规则和修正的自动化安全基线,以及具有集中存储的全面日志记录。 该解决方案通过 Amazon VPC 共享和中转网关共享模型提供先进的网络能力,采用轴辐架构,支持集中出口控制、使用亚马逊云科技网络防火墙和网关负载均衡器进行流量检查、通过中转网关对等连接实现多区域连接,以及用于成本优化的集中接口终端节点访问。 云资源管理通过产品工厂的“基础设施即定义”方法得到简化,在基本亚马逊云科技服务和自动化部署管道中实现基于 JSON 的配置。 通过内置的多区域部署、Amazon Control Tower 集成、Amazon IAM Identity Center 身份中心联合认证、自动化备份管理,以及通过 GuardDuty 和 Security Hub 集成的实时安全监控,Cloud Foundations 在提供可扩展基础的同时,实现高达 80% 的实施时间缩减,从第一天起就保持运营卓越和成本优化。
Cloud Foundations 快速启动包
Cloud Foundations 快速启动包目前提供两个版本
|
|
标准版
|
精简版
|
|---|---|---|
|
交付模式
|
亚马逊云科技顾问 |
亚马逊云科技顾问和合作伙伴 |
|
基础着陆区
|
包含 |
包含 |
|
基础网络
|
包含 |
包含 |
|
基础培训
|
包含 |
包含 |
|
备份及配置规则
|
包含 |
包含 |
|
账户工厂
|
包含 |
不包含 |
|
高级功能
|
包含 |
不包含 |
|
拓展网络
|
可选 |
不包含 |
|
拓展培训
|
可选 |
不包含 |
|
云资源管理
|
可选 |
不包含 |
主要优势
加速业务聚焦
具有标准 2 周交付时间线的预构建基础设施底座,消除了数月的设置工作,使组织能够将其信息技术资源专注于高价值举措而非基础配置,如大规模迁移、无服务器应用程序和业务流程创新。
企业就绪网络架构
提供复杂的网络模式,包括轴辐拓扑、集中流量检查,以及通过中转网关对等连接的多区域连接。 该解决方案提供对高级网络安全控制和全面预定义网络模板的即时访问,无需专业网络专业知识或扩展实施周期。
可扩展工厂架构
模块化工厂服务使业务增长和发展时能够快速配置新资源和账户。 基于 JSON 的基础设施即定义方法允许团队轻松加入新的亚马逊云科技服务并自定义部署,而无需重建核心基础,确保长期可扩展性和适应性。
架构图
页面主题
架构图说明
全部打开在 Amazon Organizations 组织或虚拟组织内集中管理亚马逊云科技账户。 启用 Amazon IAM 身份中心实例,并且还管理 Amazon Control Tower 服务。
集中管理 Amazon Systems Manager 参数存储中的参数、Amazon AppConfig 应用程序中的配置文件,以及 Amazon Simple Notification Service (Amazon SNS) 通知主题。 通过 Amazon Step Functions 状态机协调 Amazon CodePipeline 管道、Amazon CodeBuild 项目和 Amazon CodeCommit 存储库。 配置账户工厂、流水线工厂、产品工厂、包工厂和存储库工厂产品的 Amazon Service Catalog 服务目录产品。 该账户是 Amazon CloudFormation 堆栈集的委派管理员。
集中管理 Amazon Key Management Service (Amazon KMS) 客户托管密钥。 包括 Amazon Identity and Access Management (Amazon IAM) 预定义角色、Amazon IAM 身份中心预定义权限集和组。 该账户是 Amazon Account Management、Amazon Audit Manager、Amazon Backup、Amazon CloudTrail、Amazon Config、Amazon Detective、Amazon IAM 集中根访问、Amazon IAM Access Analyzer、Amazon IAM 身份中心、Amazon Inspector、Amazon GuardDuty、Amazon Macie、Amazon Security Hub 的委派管理员。
集中管理用于存储服务日志的 Amazon Simple Storage Service (Amazon S3) 存储桶。 包括用于用户界面前端的 Amazon CloudFront 分发。 该账户是 Amazon S3 Storage Lens 的委派管理员。
集中管理 Amazon Virtual Private Cloud (Amazon VPC)、子网和无类别域间路由 CIDR 地址范围、路由表和路由、网关和接口端点、安全组和出入站规则、网络地址转换网关、互联网网关、Amazon Network Firewall 网络防火墙及其策略和规则组、网关负载均衡器、Amazon Transit Gateway 中转网关及其路由表、中转网关对等连接、挂载、关联和传播、Amazon Route 53 解析程序、Amazon Direct Connect 专用网络连接网关。 提供具有常见流量检查模式的常用网络定义模板。
每个账户都根据亚马逊云科技推荐的最佳实践,通过选定的系统级别和账户级别安全基线进行引导和配置。 例如,每个账户都有选择性地配置了 Amazon CloudTrail 组织跟踪、Amazon IAM 密码策略、Amazon IAM 身份中心账户分配、Amazon Elastic Block Store (Amazon EBS) 默认加密、Amazon Backup 保管库和计划、Amazon Config 规则和修正、Amazon CloudWatch 告警和指标、Amazon Systems Manager Sessions Manager 会话管理首选项、Amazon Elastic Compute Cloud (Amazon EC2) 镜像公共访问阻止、Amazon S3 账户公共访问阻止、Amazon VPC 公共访问阻止、Amazon VPC 默认 VPC 删除以及许多其他重要基线配置。
部署和治理其他亚马逊云科技区域。 基于中转网关对等连接配置跨区域网络连接。
精选技术博客文章
1. 博客《借助 Cloud Foundations 实现多账户组织云上网络环境两种共享模式的整体规划与一键部署》,2023 年 2 月
2. 博客《借助 Cloud Foundations 规划设计云上多区域网络轴辐拓扑结构一键部署东西南北流量分别或合并检查》,2023 年 11 月
3. 博客《借助 Cloud Foundations 产品工厂规划设计并一键部署云上多账户访问控制及权限策略等基础设施资源》,2024 年 3 月
4. 博客《Cloud Foundations 演示视频集之一:从安装部署到日常运维》,2024 年 8 月
5. 博客《Cloud Foundations 网络模块新增特性包括安全组、解析程序、中转网关连接挂载、专用网络连接网关、东西南北流量合并检查、入站流量集中检查、非主区域网络部署》,2025 年 3 月
6. 博客《借助 Cloud Foundations 管理 Control Tower:新增区域、管理组织、创建或注册账户、启用控件》,2025 年 5 月