AWS - Control Tower Enum

支持 HackTricks

控制塔

简而言之，控制塔是一项服务，允许为组织内的所有帐户定义策略。因此，您可以从控制塔设置策略，而不是管理每个帐户。

AWS 控制塔是由亚马逊网络服务（AWS）提供的一项服务，使组织能够在 AWS 中建立和管理安全、合规的多帐户环境。

AWS 控制塔提供了一组预定义的最佳实践蓝图，可根据组织需求进行定制。这些蓝图包括预配置的 AWS 服务和功能，如 AWS 单点登录（SSO）、AWS Config、AWS CloudTrail 和 AWS 服务目录。

使用 AWS 控制塔，管理员可以快速设置符合组织要求的多帐户环境，例如安全性和合规性。该服务提供了一个中央仪表板，用于查看和管理帐户和资源，还自动化帐户、服务和策略的配置。

此外，AWS 控制塔提供了防护栏，这是一组预配置的策略，可确保环境始终符合组织要求。这些策略可以根据具体需求进行定制。

总体而言，AWS 控制塔简化了在 AWS 中建立和管理安全、合规的多帐户环境的过程，使组织更容易专注于其核心业务目标。

要枚举控制塔控件，首先需要枚举组织:

# Get controls applied in an account
aws controltower list-enabled-controls --target-identifier arn:aws:organizations::<acc_id>:ou/<ou-id>

Control Tower还可以使用账户工厂在账户中执行CloudFormation模板并在这些账户中运行服务（权限提升，后渗透...）

支持HackTricks

Last updated 1 month ago