Auto-sync: update nexus workspace

wiki/concepts/Blast-Radius.md

@@ -0,0 +1,73 @@
+---
+title: "Blast Radius"
+type: concept
+tags: [Security, AWS, IAM, Risk-Management, Architecture]
+sources:
+  - ctp-topic-16-cross-account-terraform-modules.md
+  - ctp-topic-13-cloud-finops-micro-focus-policies-best-practices-to-optimize-the-co.md
+last_updated: 2026-05-15
+---
+
+## Overview
+
+Blast Radius（爆炸半径）是一个安全概念，描述在云基础设施中某个组件（如一个 AWS 账号）被攻破或出现故障时，其影响范围的大小。**目标是最小化爆炸半径**，确保单个组件的问题不会波及其他系统。
+
+## In AWS Multi-Account Architecture
+
+在 AWS Landing Zone 多账号架构中，Blast Radius 控制是核心设计原则：
+
+### Without Blast Radius Control（高风险）
+
+```
+Workload Account A
+       ↓ 直接互信
+Workload Account B
+
+风险：Account A 被攻破 → Account B 同时沦陷
+```
+
+### With Blast Radius Control（推荐架构）
+
+```
+Workload Account A
+       ↓ (受限)
+[[Shared-Account]]
+       ↓ (受限)
+Workload Account B
+
+风险：Account A 被攻破 → 仅影响与 Shared Account 的受限连接
+      Shared Account → Account B 的连接受独立角色控制
+```
+
+## Key Mechanisms
+
+| 机制 | 说明 |
+|------|------|
+| **独立账号隔离** | 每个 Workload 独立账号，无直接互信 |
+| **最小权限角色** | [[TF-State-Bucket-Accessor]] 和 [[Cross-account-ECS-Deploy-Runner-Role]] 仅授予最小必要权限 |
+| **Assume Role 临时凭证** | 无长期凭证泄露风险 |
+| **审计追踪** | CloudTrail 记录所有跨账号操作 |
+
+## Blast Radius vs. Blast Width
+
+- **Blast Radius**：组件被攻破时的**潜在影响范围**
+- **Blast Width**：跨账号直接信任连接的**数量和密度**
+
+降低 Blast Radius 的策略：
+1. 减少账号间的直接信任关系
+2. 使用 Shared Account 作为唯一信任中介
+3. 实施最小权限原则
+4. 定期轮换 IAM 角色凭证
+
+## Relationships
+
+- [[Shared-Account]] ← enables ← [[Blast-Radius-Control]]
+- [[Cross-account-Terraform-Modules]] ← secures_via ← [[Blast-Radius]]
+- [[Assume-Role]] ← minimizes ← [[Blast-Radius]]
+- [[AWS-Landing-Zone]] ← designed_for ← [[Blast-Radius-Control]]
+
+## Related Concepts
+
+- [[IAM-Policy]]：最小权限是控制 Blast Radius 的工具
+- [[Cross-account-Terraform-Modules]]：Blast Radius 控制是该方案的核心安全价值
+- [[Assume-Role]]：临时凭证机制是控制 Blast Radius 的关键技术