From 19c8f2da9be9d24544cc4ba281543d87e20ff69b Mon Sep 17 00:00:00 2001
From: shenlan <manbuzhe2009@qq.com>
Date: Mon, 29 Sep 2025 22:53:08 +0800
Subject: [PATCH] Add AWS landing zone baseline checklist

---
 docs/AWS-Landing-Zone-Baseline.md | 91 +++++++++++++++++++++++++++++++
 1 file changed, 91 insertions(+)
 create mode 100644 docs/AWS-Landing-Zone-Baseline.md

diff --git a/docs/AWS-Landing-Zone-Baseline.md b/docs/AWS-Landing-Zone-Baseline.md
new file mode 100644
index 00000000..4db5d54b
--- /dev/null
+++ b/docs/AWS-Landing-Zone-Baseline.md
@@ -0,0 +1,91 @@
+# AWS Landing Zone Baseline（单用户最小需求清单）
+
+本清单聚焦单用户（Owner）管理场景，仍需满足 Landing Zone 在账号治理、安全、网络、资源隔离与合规扩展性方面的基础要求。
+
+## 1. 账号与身份基线
+
+### AWS Organizations
+- 启用 AWS Organizations，避免所有资源集中在管理账号（root account）下。
+- 即使只有单用户，也建议采用组织化的账号布局，便于后续扩展与治理。
+
+### 账号分层（最小 3 个账号）
+1. **Management / Root Account**：用于组织与账单管理，不直接部署工作负载。
+2. **Shared Services / Security Account**：集中托管 CloudTrail、Config、GuardDuty 等全局安全与日志服务。
+3. **Workload Account**：部署 EC2、EKS、RDS 等业务资源。
+
+### IAM 基线
+- 启用根账号（root user）多因素认证（MFA），禁止日常使用 root 用户登录。
+- 创建至少一个具备管理员权限的 IAM 用户，并启用 MFA。
+- 使用 IAM Role（短期凭证）替代长期 Access Key，提升安全性并便于自动化扩展。
+
+## 2. 网络基线
+
+### VPC
+- 每个 Workload Account 至少创建一个 VPC，满足业务与安全隔离需求。
+- 设置公有子网（对外服务）与私有子网（数据库、内部应用）。
+
+### 出站访问
+- 需要访问外部互联网的私有子网可配置 NAT Gateway；成本敏感场景可选择小型实例自建 NAT。
+
+### 安全组策略
+- 默认拒绝所有入站流量。
+- 仅对受信任的源 IP 开放 SSH 与 HTTPS 等必要端口。
+
+## 3. 安全与合规基线
+
+### 日志与审计
+- 启用 AWS CloudTrail（跨区域），日志集中存储于 Security Account 的 S3 存储桶。
+- 开启 AWS Config，监控资源配置与合规性。
+
+### 威胁检测
+- 在 Security Account 中集中启用 Amazon GuardDuty。
+
+### 加密
+- 至少创建一个客户管理的 KMS CMK（Customer Managed Key）用于加密需求，便于审计与密钥轮换。
+
+## 4. 资源与环境基线
+
+### 最小计算资源
+- 部署一台 t3.small 或 t4g.small EC2 实例，作为跳板机或轻量级测试环境。
+- 可使用 Lightsail 做实验性工作负载，但不建议作为正式 Landing Zone 资源。
+
+### 镜像与 AMI
+- 优先选用官方 Amazon Linux 2023 或 Ubuntu 官方 AMI，确保安全与持续更新。
+
+## 5. 自动化与治理基线
+
+### 基础 IaC
+- 使用 Terraform、AWS Control Tower，或 AWS Landing Zone Accelerator（LZA）实现基础设施即代码自动化。
+- 若预算有限，可先行采用 Terraform 管理基础结构。
+
+### 命名规范
+- 采用格式：`lz-<account>-<env>-<service>`。
+  - 例如：`lz-workload-dev-vpc1`、`lz-security-log-bucket`。
+
+### 标签策略
+- 必备标签：`owner=haitao`，`env=dev/prod`，`cost-center=personal`。
+- 在 AWS Organizations 中启用 Tag Policies 统一约束。
+
+## 6. 可扩展性基线
+
+### 多环境逻辑隔离
+- 即使单用户，也要预先规划 dev / prod 等逻辑环境，便于未来扩展。
+
+### 监控
+- 启用 CloudWatch Metrics（默认提供）。
+- 至少配置一项 CloudWatch Alarm，如 EC2 CPU 使用率超过 80% 时报警。
+
+### 备份策略
+- 制定 Backup Plan：
+  - EC2：每日创建 EBS Snapshot，保留 7 天。
+  - RDS：启用自动快照。
+
+---
+
+**总结：**
+- 组织与账号治理：Organizations + 3 个账号（Root / Security / Workload）。
+- 安全：CloudTrail、Config、GuardDuty、MFA、IAM Role。
+- 网络：最小 VPC（公有/私有子网 + 基础安全组）。
+- 资源：1 台小型 EC2 + 官方 AMI。
+- 治理：Terraform/IaC + 命名规范 + 标签策略。
+- 运维：CloudWatch 基础告警 + 自动快照/备份。