Learn DevOps

AWS Control Tower trong 35 ngày

Hải Yến Trịnh's photo
Hải Yến Trịnh
·

25 min read

Tuần 1: Nền tảng và Bắt đầu

  • Ngày 1:

    • Buổi sáng: AWS Control Tower là gì? Tìm hiểu mục đích, lợi ích (quản trị đa tài khoản, tuân thủ, tự động hóa) và các thành phần cốt lõi (Landing Zone, Guardrails, Account Factory).

    • Buổi chiều: Cách hoạt động của AWS Control Tower. Khám phá kiến trúc cơ bản, vai trò của AWS Organizations và mối quan hệ với các dịch vụ AWS khác (Config, CloudTrail, IAM).

    • Bài tập:

      1. Vẽ sơ đồ đơn giản minh họa các thành phần chính của AWS Control Tower và cách chúng tương tác.

      2. Khám phá giao diện điều khiển AWS Control Tower và làm quen với các phần khác nhau của nó.

      3. Xác định một trường hợp sử dụng trong tổ chức của bạn (hoặc một trường hợp giả định) nơi AWS Control Tower có thể giải quyết các thách thức liên quan đến quản lý đa tài khoản.

  • Ngày 2:

    • Buổi sáng: Thuật ngữ & Giá cả. Hiểu các thuật ngữ cần thiết như Landing Zone, Organizational Units (OUs), Guardrails, Account Factory và nắm bắt các cân nhắc về giá của AWS Control Tower.

    • Buổi chiều: Thiết lập AWS Control Tower: Thực hiện kiểm tra trước khi khởi chạy (AWS Organizations, quyền IAM) và thực hiện quy trình thiết lập dựa trên giao diện điều khiển (tạo địa chỉ email tài khoản dùng chung, chọn vùng, định cấu hình OU).

    • Bài tập:

      1. Tạo ngân sách mẫu cho việc triển khai AWS Control Tower dựa trên quy mô tổ chức của bạn và mức sử dụng dự kiến.

      2. Xác định các quyền IAM cần thiết để thiết lập và quản lý AWS Control Tower.

      3. Khởi chạy AWS Control Tower Landing Zone cơ bản trong môi trường sandbox (không phải production).

  • Ngày 3:

    • Buổi sáng: Bắt đầu từ Console (Tiếp tục). Tìm hiểu sâu hơn về cấu hình Landing Zone, thiết lập logging, mã hóa, tùy chỉnh tài khoản tùy chọn và xem lại thiết lập cuối cùng.

    • Buổi chiều: Bắt đầu sử dụng API. Hiểu cách tiếp cận hướng API để thiết lập và quản lý landing zone. Khám phá các tình huống mà phương pháp này có thể được ưu tiên.

    • Bài tập:

      1. Sử dụng AWS Control Tower API (hoặc SDK) để truy xuất thông tin về Landing Zone của bạn.

      2. Triển khai một tập lệnh đơn giản khởi chạy Landing Zone bằng AWS CloudFormation.

      3. Khám phá tài liệu AWS Control Tower để xác định các hành động API khác mà bạn có thể thực hiện.

  • Ngày 4:

    • Buổi sáng: Giới hạn & Hạn ngạch. Làm quen với các giới hạn và hạn ngạch của AWS Control Tower. Tìm hiểu cách yêu cầu tăng hạn ngạch khi cần thiết.

    • Buổi chiều: AWS Control Tower Controls. Bắt đầu khám phá thư viện controls, hiểu tổ chức của nó và các loại controls có sẵn.

    • Bài tập:

      1. Nghiên cứu và ghi lại các hạn ngạch mặc định cho tài nguyên AWS Control Tower trong khu vực AWS ưa thích của bạn.

      2. Xác định ba hạn chế tiềm ẩn của AWS Control Tower mà bạn có thể cần xem xét trong tổ chức của mình.

      3. Khám phá hướng dẫn tham khảo controls và xác định năm controls có liên quan đến yêu cầu bảo mật hoặc tuân thủ của tổ chức bạn.

  • Ngày 5:

    • Buổi sáng: Best practice dành cho quản trị viên. Tìm hiểu sâu về lập kế hoạch landing zone, best practice về đa tài khoản, mẹo quản trị và hướng dẫn quản lý tài nguyên.

    • Buổi chiều: Quản lý cập nhật cấu hình. Hiểu cách cập nhật landing zone của bạn, giải quyết drift và sử dụng tự động hóa để cung cấp và cập nhật tài khoản.

    • Bài tập:

      1. Tạo danh sách kiểm tra các phương pháp hay nhất bạn muốn tuân theo khi thiết lập và quản lý môi trường AWS Control Tower của mình.

      2. Nghiên cứu và ghi lại các bước liên quan đến việc cập nhật AWS Control Tower Landing Zone của bạn lên phiên bản mới nhất.

      3. Triển khai một tập lệnh đơn giản tự động cập nhật một tài khoản cụ thể trong Landing Zone của bạn.

Tuần 2: Tự động hóa, Tùy chỉnh, Mạng và IAM

  • Ngày 6:

    • Buổi sáng: Tự động hóa tác vụ. Tìm hiểu cách sử dụng AWS CloudShell và AWS CLI để tự động hóa các tác vụ trong AWS Control Tower.

    • Buổi chiều: Tùy chỉnh cho AWS Control Tower (CfCT). Hiểu kiến trúc và chi phí tùy chỉnh AWS Control Tower. Khám phá các dịch vụ thành phần và cân nhắc triển khai.

    • Bài tập:

      1. Viết lệnh AWS CLI liệt kê tất cả các tài khoản trong AWS Control Tower Landing Zone của bạn.

      2. Tạo một mẫu CloudFormation đơn giản cung cấp một tài khoản mới trong Landing Zone của bạn.

      3. Khám phá hướng dẫn tùy chỉnh AWS Control Tower và xác định ba kịch bản tùy chỉnh tiềm năng.

  • Ngày 7:

    • Buổi sáng: Triển khai CfCT. Đi qua các bước khởi chạy ngăn xếp tùy chỉnh, tạo gói tùy chỉnh, cập nhật ngăn xếp và xóa bộ ngăn xếp.

    • Buổi chiều: Thiết lập Amazon S3 làm nguồn cấu hình. Tìm hiểu cách tận dụng S3 để lưu trữ và quản lý cấu hình AWS Control Tower của bạn.

    • Bài tập:

      1. Triển khai tùy chỉnh AWS Control Tower cơ bản trong môi trường sandbox bằng mẫu CloudFormation được cung cấp.

      2. Tạo một gói tùy chỉnh đơn giản sửa đổi một control AWS Control Tower mặc định.

      3. Định cấu hình một S3 bucket để hoạt động như nguồn cấu hình cho môi trường AWS Control Tower tùy chỉnh của bạn.

Tuần 3: Quản lý Tài nguyên, Tài khoản và Drift

  • Ngày 8:

    • Buổi sáng: Networking. Tổng quan về AWS Control Tower và VPC, tìm hiểu về CIDR và Peering cho VPC và AWS Control Tower.

    • Buổi chiều: Roles và permissions. Tìm hiểu về các vai trò và tài khoản, vai trò AWSControlTowerExecution, các điều kiện tùy chọn cho mối quan hệ tin cậy vai trò của bạn.

    • Bài tập:

      1. Thiết lập một VPC đơn giản trong AWS Control Tower và định cấu hình peering với một VPC hiện có.

      2. Tạo một vai trò IAM tùy chỉnh cho AWS Control Tower với các quyền cụ thể.

      3. Kiểm tra và ghi lại các điều kiện tin cậy vai trò hiện có trong môi trường AWS Control Tower của bạn.

  • Ngày 9:

    • Buổi sáng: Quản lý tài nguyên. Tìm hiểu cách quản lý các vùng trong AWS Control Tower, bao gồm cả các vùng opt-in và control từ chối vùng.

    • Buổi chiều: Accounts. Tìm hiểu về các phương pháp cung cấp tài khoản, các quyền cần thiết, cách xem tài khoản, tài nguyên tài khoản dùng chung và các loại tài khoản thành viên.

    • Bài tập:

      1. Kích hoạt một vùng opt-in mới trong AWS Control Tower và triển khai một tài nguyên mẫu (ví dụ: EC2 instance) trong vùng đó.

      2. Tạo một tài khoản thành viên mới trong AWS Control Tower bằng cách sử dụng Account Factory.

      3. Xem xét và ghi lại các tài nguyên tài khoản dùng chung hiện có trong môi trường AWS Control Tower của bạn.

  • Ngày 10:

    • Buổi sáng: Ghi danh một tài khoản AWS hiện có. Tìm hiểu các điều kiện tiên quyết, quy trình ghi danh và cách thêm thủ công vai trò IAM cần thiết.

    • Buổi chiều: Account Factory. Tìm hiểu về các quyền, cách tạo, cung cấp, cập nhật, di chuyển, đổi tên, cấu hình VPC, hủy quản lý và đóng tài khoản.

    • Bài tập:

      1. Ghi danh một tài khoản AWS hiện có vào AWS Control Tower và xác minh rằng nó được quản lý đúng cách.

      2. Sử dụng Account Factory để tạo một tài khoản mới với các cài đặt VPC tùy chỉnh.

      3. Tạo một quy trình tự động để cung cấp và định cấu hình tài khoản mới bằng Account Factory.

  • Ngày 11:

    • Buổi sáng: Tùy chỉnh Account Factory (AFC). Tìm hiểu cách thiết lập tùy chỉnh, tạo tài khoản tùy chỉnh từ blueprint, ghi danh và tùy chỉnh tài khoản, thêm, cập nhật và xóa blueprint.

    • Buổi chiều: AWS Control Tower Account Factory for Terraform (AFT). Tìm hiểu cách cung cấp tài khoản mới, xử lý nhiều yêu cầu tài khoản và cập nhật tài khoản hiện có bằng Terraform.

    • Bài tập:

      1. Tạo một blueprint tùy chỉnh cho Account Factory xác định các cấu hình cụ thể cho các tài khoản mới.

      2. Sử dụng Terraform để cung cấp một tài khoản mới trong AWS Control Tower.

      3. Thực hiện một thay đổi đối với một tài khoản hiện có trong AWS Control Tower bằng cách sử dụng Terraform.

  • Ngày 12:

    • Buổi sáng: Triển khai AFT. Tìm hiểu các bước sau triển khai và tổng quan về AFT, bao gồm kiến trúc, chi phí, phiên bản, tính năng, tài nguyên, vai trò và quy trình cung cấp tài khoản.

    • Buổi chiều: Drift. Tìm hiểu về các loại governance drift và cách xử lý khi bạn quản lý tài nguyên bên ngoài AWS Control Tower.

    • Bài tập:

      1. Triển khai AFT trong môi trường AWS Control Tower của bạn và xác minh rằng nó hoạt động chính xác.

      2. Kích hoạt các tùy chọn tính năng khác nhau trong AFT và quan sát tác động của chúng đối với quy trình cung cấp tài khoản.

      3. Xác định và giải quyết một trường hợp governance drift trong môi trường AWS Control Tower của bạn.

Tuần 4: Organizations, Dịch vụ Tích hợp, Quản lý Danh tính và Truy cập

  • Ngày 13:

    • Buổi sáng: Organizations. Mở rộng quản trị cho một tổ chức hiện có và tìm hiểu về các OU lồng nhau.

    • Buổi chiều: Đăng ký một OU để ghi danh nhiều tài khoản. Tìm hiểu cách đăng ký một OU hiện có, tạo một OU mới và các nguyên nhân phổ biến gây ra lỗi trong quá trình đăng ký hoặc đăng ký lại.

    • Bài tập:

      1. Đăng ký một OU hiện có vào AWS Control Tower và xác minh rằng tất cả các tài khoản trong OU đó đều được ghi danh thành công.

      2. Tạo một OU mới trong AWS Control Tower và cấu hình nó để tự động ghi danh bất kỳ tài khoản mới nào được tạo trong OU đó.

      3. Khắc phục sự cố một lỗi đăng ký OU phổ biến, chẳng hạn như xung đột chính sách dịch vụ (SCP).

  • Ngày 14:

    • Buổi sáng: Cập nhật tổ chức. Tìm hiểu khi nào cần cập nhật OU và tài khoản, cách cập nhật nhiều tài khoản trong một OU và cách cập nhật một tài khoản.

    • Buổi chiều: Dịch vụ tích hợp. Khám phá cách AWS Control Tower tích hợp với các dịch vụ AWS khác như CloudFormation, CloudTrail, CloudWatch, Config, IAM, KMS, Lambda, Organizations, S3, Security Hub, Service Catalog, SNS và Step Functions.

    • Bài tập:

      1. Thực hiện cập nhật đối với một OU trong AWS Control Tower và xác minh rằng các thay đổi được áp dụng cho tất cả các tài khoản trong OU đó.

      2. Cấu hình AWS Config để theo dõi các thay đổi đối với các tài nguyên AWS Control Tower.

      3. Tạo một quy trình làm việc tự động sử dụng Step Functions để cung cấp và định cấu hình tài khoản mới trong AWS Control Tower.

  • Ngày 15:

    • Buổi sáng: IAM Identity Center và AWS Control Tower. Tìm hiểu về các nhóm người dùng, vai trò và bộ quyền, cũng như các nhóm IAM Identity Center dành cho AWS Control Tower.

    • Buổi chiều: Tổng quan về quản lý truy cập tài nguyên bằng IAM. Tìm hiểu cách quản lý quyền truy cập vào tài nguyên và tạo vai trò, gán quyền.

    • Bài tập:

      1. Tạo một nhóm người dùng mới trong IAM Identity Center và gán cho nhóm đó một bộ quyền cụ thể cho AWS Control Tower.

      2. Tạo một vai trò IAM mới với các quyền hạn chế cho một tác vụ cụ thể trong AWS Control Tower.

      3. Xem xét và ghi lại các chính sách IAM hiện có được sử dụng để quản lý quyền truy cập vào tài nguyên AWS Control Tower trong môi trường của bạn.

  • Ngày 16:

    • Buổi sáng: Ngăn chặn các cuộc tấn công confused deputy. Tìm hiểu về các chính sách IAM cho AWS Control Tower và các quyền cần thiết để sử dụng AWS Control Tower Console.

    • Buổi chiều: Chính sách được quản lý cho AWS Control Tower. Tìm hiểu về các chính sách được quản lý khác nhau có sẵn trong AWS Control Tower và cách chúng có thể được sử dụng để đơn giản hóa việc quản lý quyền.

    • Bài tập:

      1. Triển khai một chính sách được quản lý AWS Control Tower để kiểm soát quyền truy cập vào một dịch vụ AWS cụ thể (ví dụ: Amazon S3).

      2. Tạo một chính sách IAM tùy chỉnh để cấp quyền truy cập hạt mịn hơn vào các tài nguyên AWS Control Tower cụ thể.

      3. Xem xét các chính sách được quản lý AWS Control Tower hiện có trong môi trường của bạn và xác định xem có cần bất kỳ điều chỉnh nào hay không.

  • Ngày 17:

    • Buổi sáng: Ôn tập và củng cố kiến thức tuần 4. Xem lại các khái niệm và kỹ thuật chính đã đề cập trong tuần này.

    • Buổi chiều: Thực hiện các bài tập tổng hợp để củng cố kiến thức và kỹ năng thực hành.

    • Bài tập:

      1. Tạo một bản trình bày tóm tắt các thành phần chính của AWS Control Tower và cách chúng hoạt động cùng nhau.

      2. Thực hiện đánh giá rủi ro bảo mật cho môi trường AWS Control Tower của bạn và xác định các lĩnh vực cần cải thiện.

      3. Phát triển một kế hoạch để tự động hóa các tác vụ quản lý tài khoản phổ biến trong AWS Control Tower.

Tuần 5: Bảo mật, Logging, Giám sát và Walkthroughs

  • Ngày 18:

    • Buổi sáng: Security. Tìm hiểu về bảo vệ dữ liệu, xác thực tuân thủ, khả năng phục hồi và bảo mật cơ sở hạ tầng trong AWS Control Tower.

    • Buổi chiều: Logging và monitoring. Tìm hiểu về ghi nhật ký trong AWS Control Tower, chính sách S3 bucket, tổng quan về giám sát và ghi nhật ký các hành động AWS Control Tower bằng AWS CloudTrail.

    • Bài tập:

      1. Xem xét và cập nhật chính sách S3 bucket cho tài khoản lưu trữ nhật ký AWS Control Tower của bạn để đảm bảo tuân thủ các yêu cầu bảo mật.

      2. Cấu hình AWS CloudTrail để ghi lại tất cả các hoạt động API của AWS Control Tower trong môi trường của bạn.

      3. Tạo một dashboard CloudWatch để giám sát các chỉ số chính của AWS Control Tower, chẳng hạn như số lượng tài khoản, số lượng OU và số lượng controls được kích hoạt.

  • Ngày 19:

    • Buổi sáng: Giám sát các thay đổi tài nguyên bằng AWS Config. Tìm hiểu cách quản lý chi phí Config và theo dõi các sự kiện vòng đời.

    • Buổi chiều: Thông báo người dùng. Tìm hiểu cách thiết lập thông báo để thông báo cho người dùng về các thay đổi quan trọng trong môi trường AWS Control Tower của bạn.

    • Bài tập:

      1. Cấu hình AWS Config để ghi lại các thay đổi cấu hình cho các tài nguyên AWS Control Tower cụ thể (ví dụ: chính sách S3 bucket).

      2. Tạo một quy tắc AWS Config để tự động phát hiện các tài nguyên không tuân thủ và gửi thông báo đến một chủ đề SNS.

      3. Thiết lập một địa chỉ email để nhận thông báo từ AWS Control Tower về các sự kiện vòng đời quan trọng (ví dụ: tạo tài khoản, cập nhật control).

  • Ngày 20:

    • Buổi sáng: Walkthrough: Chuyển từ ALZ sang AWS Control Tower. Tìm hiểu quy trình từng bước để di chuyển từ AWS Landing Zone sang AWS Control Tower.

    • Buổi chiều: Walkthrough: Tự động cung cấp tài khoản trong AWS Control Tower bằng API Service Catalog. Tìm hiểu cách sử dụng API Service Catalog để tự động hóa quy trình cung cấp tài khoản trong AWS Control Tower.

    • Bài tập:

      1. Lập kế hoạch di chuyển từ AWS Landing Zone hiện có sang AWS Control Tower, xác định các bước cần thiết và các cân nhắc tiềm ẩn.

      2. Triển khai một quy trình làm việc tự động sử dụng API Service Catalog để cung cấp tài khoản mới trong AWS Control Tower dựa trên các tiêu chí cụ thể.

      3. Tạo một sản phẩm Service Catalog tùy chỉnh cho phép người dùng tự cung cấp tài khoản AWS Control Tower với các cấu hình được xác định trước.

  • Ngày 21:

    • Buổi sáng: Walkthrough: Cấu hình AWS Control Tower không có VPC. Tìm hiểu cách thiết lập AWS Control Tower mà không cần VPC chuyên dụng.

    • Buổi chiều: Walkthrough: Thiết lập nhóm bảo mật trong AWS Control Tower với AWS Firewall Manager. Tìm hiểu cách sử dụng AWS Firewall Manager để quản lý tập trung các nhóm bảo mật trong AWS Control Tower.

    • Bài tập:

      1. Thiết lập AWS Control Tower trong một môi trường không có VPC hiện có và xác minh rằng nó hoạt động chính xác.

      2. Tạo một chính sách AWS Firewall Manager để kiểm soát lưu lượng truy cập vào và ra khỏi tài khoản AWS Control Tower của bạn.

      3. Thực hiện kiểm tra xâm nhập vào môi trường AWS Control Tower của bạn để xác định các lỗ hổng bảo mật tiềm ẩn.

  • Ngày 22:

    • Buổi sáng: Walkthrough: Hủy bỏ một AWS Control Tower Landing Zone. Tìm hiểu quy trình từng bước để hủy bỏ một AWS Control Tower Landing Zone.

    • Buổi chiều: Ôn tập và củng cố kiến thức tuần 5. Xem lại các khái niệm và kỹ thuật chính đã đề cập trong tuần này.

    • Bài tập:

      1. Lập kế hoạch hủy bỏ một AWS Control Tower Landing Zone trong môi trường sandbox, xác định các bước cần thiết và các cân nhắc tiềm ẩn.

      2. Thực hiện hủy bỏ Landing Zone sandbox và xác minh rằng tất cả các tài nguyên liên quan đã được xóa thành công.

      3. Tạo một bản trình bày tóm tắt các thực tiễn tốt nhất để bảo mật, ghi nhật ký và giám sát môi trường AWS Control Tower.

Tuần 6: Khắc phục sự cố, Baselines, Hướng dẫn tham khảo Controls và Thêm

  • Ngày 23:

    • Buổi sáng: Troubleshooting. Tìm hiểu các kỹ thuật và công cụ để khắc phục sự cố phổ biến trong AWS Control Tower, chẳng hạn như lỗi triển khai, sự cố cấu hình và xung đột tài nguyên.

    • Buổi chiều: Baselines. Tìm hiểu về bảng AWSControlTowerBaseline và cách sử dụng nó để xác định cấu hình cơ sở cho môi trường AWS Control Tower của bạn.

    • Bài tập:

      1. Sử dụng AWS CloudTrail để điều tra lỗi triển khai AWS Control Tower gần đây và xác định nguyên nhân gốc rễ.

      2. So sánh cấu hình hiện tại của môi trường AWS Control Tower của bạn với AWSControlTowerBaseline và xác định bất kỳ sai lệch nào.

      3. Viết một tập lệnh để tự động kiểm tra cấu hình AWS Control Tower của bạn so với AWSControlTowerBaseline và báo cáo bất kỳ sai lệch nào.

  • Ngày 24:

    • Buổi sáng: Ví dụ: Đăng ký một AWS Control Tower OU chỉ với API. Tìm hiểu cách sử dụng API để đăng ký OU vào AWS Control Tower mà không cần sử dụng giao diện điều khiển.

    • Buổi chiều: Ví dụ về API cơ sở. Khám phá các ví dụ về cách sử dụng API để thực hiện các tác vụ quản lý AWS Control Tower phổ biến, chẳng hạn như tạo tài khoản, cập nhật control và truy xuất nhật ký.

    • Bài tập:

      1. Sử dụng AWS CLI hoặc SDK để đăng ký một OU hiện có vào AWS Control Tower.

      2. Viết một tập lệnh sử dụng API để tự động tạo một tài khoản mới trong một OU cụ thể trong AWS Control Tower.

      3. Tạo một báo cáo tùy chỉnh liệt kê tất cả các control được kích hoạt trong môi trường AWS Control Tower của bạn bằng cách sử dụng API.

  • Ngày 25:

    • Buổi sáng: Hướng dẫn tham khảo AWS Control Tower Controls: Giới thiệu. Tìm hiểu về mục đích và cấu trúc của hướng dẫn tham khảo control, bao gồm các loại control khác nhau và cách chúng được phân loại.

    • Buổi chiều: Hướng dẫn tham khảo controls. Tìm hiểu sâu về các control riêng lẻ, bao gồm hành vi, hướng dẫn, cân nhắc và ví dụ về cách triển khai chúng.

    • Bài tập:

      1. Chọn ba control từ hướng dẫn tham khảo mà bạn cho là có liên quan nhất đến tổ chức của mình và ghi lại lý do tại sao.

      2. Thử nghiệm việc triển khai một control mới trong môi trường sandbox AWS Control Tower của bạn và quan sát tác động của nó đối với các tài nguyên được quản lý.

      3. Tạo một bản trình bày tóm tắt các control chính có sẵn trong AWS Control Tower và cách chúng có thể được sử dụng để cải thiện quản trị và tuân thủ.

  • Ngày 26:

    • Buổi sáng: Hành vi và hướng dẫn kiểm soát. Tìm hiểu chi tiết về cách thức hoạt động của từng control, tác động của nó đối với tài nguyên được quản lý và các phương pháp hay nhất để triển khai và quản lý chúng.

    • Buổi chiều: Cân nhắc đối với các controls và OU. Tìm hiểu cách các control có thể được áp dụng ở cấp OU và cách cấu trúc OU của bạn có thể ảnh hưởng đến việc triển khai và quản lý control.

    • Bài tập:

      1. Xác định một control hiện đang được triển khai ở cấp OU trong môi trường AWS Control Tower của bạn và đánh giá xem nó có nên được chuyển sang cấp tài khoản hay không.

      2. Tạo một sơ đồ minh họa cấu trúc OU của bạn và cách các control khác nhau được áp dụng ở các cấp khác nhau.

      3. Phát triển một quy trình để đánh giá thường xuyên hiệu quả của các control của bạn và thực hiện các điều chỉnh khi cần thiết.

  • Ngày 27:

    • Buổi sáng: Cân nhắc đối với các controls và tài khoản. Tìm hiểu cách các control có thể được áp dụng ở cấp tài khoản và cách cấu hình tài khoản của bạn có thể ảnh hưởng đến việc triển khai và quản lý control.

    • Buổi chiều: Xem chi tiết control. Tìm hiểu cách truy cập thông tin chi tiết về từng control, bao gồm các thuộc tính, phụ thuộc và các tùy chọn cấu hình có sẵn.

    • Bài tập:

      1. Chọn một tài khoản trong môi trường AWS Control Tower của bạn và xem lại các control hiện đang được áp dụng cho tài khoản đó.

      2. Điều chỉnh cấu hình của một control hiện có trên một tài khoản để đáp ứng các yêu cầu cụ thể của bạn.

      3. Tạo một báo cáo tùy chỉnh liệt kê tất cả các tài khoản trong môi trường AWS Control Tower của bạn và các control được áp dụng cho từng tài khoản.

Tuần 7: ID tài nguyên cho API và controls, Ví dụ về API control, Kích hoạt controls với CloudFormation

  • Ngày 28:

    • Buổi sáng: ID tài nguyên cho API và controls. Tìm hiểu cách xác định và sử dụng ID tài nguyên để tương tác với các controls và tài nguyên AWS Control Tower khác thông qua API.

    • Buổi chiều: Ví dụ về API control. Khám phá các ví dụ về cách sử dụng API để kích hoạt, cập nhật và vô hiệu hóa các controls trong môi trường AWS Control Tower của bạn.

    • Bài tập:

      1. Sử dụng AWS CLI hoặc SDK để truy xuất ID tài nguyên của một control cụ thể trong môi trường AWS Control Tower của bạn.

      2. Viết một tập lệnh sử dụng API để kích hoạt một control mới trên một OU hoặc tài khoản cụ thể.

      3. Tạo một báo cáo tùy chỉnh liệt kê tất cả các controls được kích hoạt trong môi trường AWS Control Tower của bạn, cùng với ID tài nguyên tương ứng của chúng.

  • Ngày 29:

    • Buổi sáng: Kích hoạt controls bằng AWS CloudFormation. Tìm hiểu cách sử dụng các mẫu CloudFormation để tự động hóa việc triển khai và quản lý các controls trong AWS Control Tower.

    • Buổi chiều: Triển khai đồng thời cho các controls tùy chọn. Khám phá cách triển khai nhiều controls tùy chọn cùng một lúc bằng cách sử dụng CloudFormation để tăng tốc quá trình thiết lập.

    • Bài tập:

      1. Tạo một mẫu CloudFormation để triển khai một control mới trong môi trường AWS Control Tower của bạn.

      2. Sửa đổi mẫu CloudFormation của bạn để triển khai nhiều control tùy chọn cùng một lúc.

      3. Thử nghiệm mẫu CloudFormation của bạn trong môi trường sandbox và xác minh rằng các controls được triển khai chính xác.

  • Ngày 30:

    • Buổi sáng: Danh mục thư viện control. Tìm hiểu về các danh mục control khác nhau có sẵn trong AWS Control Tower, chẳng hạn như controls bắt buộc, controls chủ động và controls tùy chọn.

    • Buổi chiều: Danh sách các mục tiêu control. Khám phá các mục tiêu control cụ thể mà AWS Control Tower có thể giúp bạn đạt được, chẳng hạn như cải thiện bảo mật, tăng cường tuân thủ và tối ưu hóa chi phí.

    • Bài tập:

      1. Xem lại danh mục thư viện control và xác định các danh mục có liên quan nhất đến tổ chức của bạn.

      2. Chọn ba mục tiêu control mà bạn muốn đạt được với AWS Control Tower và ghi lại các controls cụ thể có thể giúp bạn đạt được những mục tiêu đó.

      3. Tạo một bản đồ tư duy trực quan hóa mối quan hệ giữa các danh mục control, mục tiêu control và controls cụ thể trong AWS Control Tower.

  • Ngày 31:

    • Buổi sáng: Controls bắt buộc. Tìm hiểu sâu về các controls bắt buộc trong AWS Control Tower và lý do tại sao chúng rất quan trọng để thiết lập một nền tảng quản trị an toàn và tuân thủ.

    • Buổi chiều: Controls chủ động. Khám phá các controls chủ động khác nhau có sẵn trong AWS Control Tower và cách chúng có thể giúp bạn chủ động ngăn chặn các hành động không tuân thủ và các vấn đề bảo mật tiềm ẩn.

    • Bài tập:

      1. Xem xét và ghi lại các controls bắt buộc hiện đang được kích hoạt trong môi trường AWS Control Tower của bạn.

      2. Đánh giá cấu hình của các controls bắt buộc của bạn và xác định xem có cần điều chỉnh nào để cải thiện hơn nữa vị thế bảo mật và tuân thủ của bạn hay không.

      3. Kích hoạt một control chủ động mới trong môi trường sandbox AWS Control Tower của bạn và quan sát cách nó ngăn chặn các hành động không tuân thủ.

Tuần 8: Controls Chủ động (tiếp), Tiêu chuẩn Security Hub, Nhóm chủ quyền kỹ thuật số và hơn thế nữa

  • Ngày 32:

    • Buổi sáng: Controls chủ động (tiếp tục). Tiếp tục khám phá các controls chủ động có sẵn trong AWS Control Tower, tập trung vào các controls liên quan đến các dịch vụ AWS cụ thể như Amazon S3, EC2, IAM và KMS.

    • Buổi chiều: Tiêu chuẩn Security Hub. Tìm hiểu cách AWS Control Tower tích hợp với AWS Security Hub để cung cấp khả năng hiển thị tập trung vào trạng thái bảo mật của môi trường đa tài khoản của bạn.

    • Bài tập:

      1. Kích hoạt các controls chủ động bổ sung liên quan đến các dịch vụ AWS mà tổ chức của bạn sử dụng nhiều nhất.

      2. Xem xét các phát hiện của Security Hub và xác định bất kỳ vấn đề bảo mật nào cần được giải quyết trong môi trường AWS Control Tower của bạn.

      3. Tạo một quy trình để thường xuyên xem xét và giải quyết các phát hiện của Security Hub.

  • Ngày 33:

    • Buổi sáng: Nhóm chủ quyền kỹ thuật số. Tìm hiểu về các controls chủ quyền kỹ thuật số có sẵn trong AWS Control Tower và cách chúng có thể giúp bạn đáp ứng các yêu cầu tuân thủ cụ thể.

    • Buổi chiều: Controls phòng ngừa chủ quyền kỹ thuật số. Khám phá các controls cụ thể có thể giúp bạn ngăn chặn việc truy cập trái phép vào dữ liệu và tài nguyên của bạn, cũng như đảm bảo rằng dữ liệu của bạn được lưu trữ và xử lý theo các quy định hiện hành.

    • Bài tập:

      1. Xác định các yêu cầu chủ quyền kỹ thuật số có liên quan đến tổ chức của bạn và kích hoạt các controls phù hợp trong AWS Control Tower.

      2. Đánh giá cấu hình của các controls chủ quyền kỹ thuật số của bạn và xác định xem có cần điều chỉnh nào để cải thiện hơn nữa vị thế tuân thủ của bạn hay không.

      3. Tạo một báo cáo tóm tắt các controls chủ quyền kỹ thuật số hiện đang được kích hoạt trong môi trường AWS Control Tower của bạn và hiệu quả của chúng.

  • Ngày 34:

    • Buổi sáng: Controls cư trú dữ liệu. Tìm hiểu về các controls có thể giúp bạn đảm bảo rằng dữ liệu của bạn được lưu trữ trong các khu vực cụ thể để đáp ứng các yêu cầu về quyền riêng tư và tuân thủ dữ liệu.

    • Buổi chiều: Từ chối vùng Landing Zone và từ chối vùng cho OU. Khám phá cách bạn có thể hạn chế việc tạo tài nguyên trong các vùng cụ thể hoặc OU để đáp ứng các yêu cầu về chủ quyền dữ liệu hoặc các cân nhắc khác.

    • Bài tập:

      1. Cấu hình các controls cư trú dữ liệu để đảm bảo rằng dữ liệu nhạy cảm của bạn được lưu trữ trong các khu vực được chỉ định.

      2. Triển khai một control từ chối vùng để ngăn việc tạo tài nguyên trong một vùng cụ thể không được phép.

      3. Đánh giá việc sử dụng các controls từ chối vùng trong môi trường AWS Control Tower của bạn và xác định xem có cần điều chỉnh nào hay không.

  • Ngày 35:

    • Buổi sáng: Controls tùy chọn. Tìm hiểu về các controls tùy chọn có sẵn trong AWS Control Tower, bao gồm các controls được khuyến nghị mạnh mẽ và các controls tự chọn.

    • Buổi chiều: Ôn tập và tổng kết. Xem lại tất cả các khái niệm và kỹ thuật chính đã được đề cập trong suốt khóa học này. Thực hiện một bài kiểm tra cuối cùng để đánh giá sự hiểu biết của bạn về AWS Control Tower.

    • Bài tập:

      1. Xem xét thư viện controls tùy chọn và xác định bất kỳ controls nào có thể mang lại giá trị gia tăng cho tổ chức của bạn.

      2. Triển khai một control tùy chọn trong môi trường sandbox AWS Control Tower của bạn và đánh giá tác động của nó.

      3. Tạo một bản trình bày tóm tắt hành trình học tập AWS Control Tower của bạn, bao gồm những hiểu biết chính, thách thức và kế hoạch cho các bước tiếp theo.

Tài liệu đọc thêm:

Introduction: AWS Control Tower Controls Reference Guide - AWS Control Tower

AWS