nexus/wiki/concepts/Blast-Radius.md

---
title: "Blast Radius"
type: concept
tags: [Security, AWS, IAM, Risk-Management, Architecture]
sources:
  - ctp-topic-16-cross-account-terraform-modules.md
  - ctp-topic-13-cloud-finops-micro-focus-policies-best-practices-to-optimize-the-co.md
last_updated: 2026-05-15
---

## Overview

Blast Radius（爆炸半径）是一个安全概念，描述在云基础设施中某个组件（如一个 AWS 账号）被攻破或出现故障时，其影响范围的大小。**目标是最小化爆炸半径**，确保单个组件的问题不会波及其他系统。

## In AWS Multi-Account Architecture

在 AWS Landing Zone 多账号架构中，Blast Radius 控制是核心设计原则：

### Without Blast Radius Control（高风险）

```
Workload Account A
       ↓ 直接互信
Workload Account B

风险：Account A 被攻破 → Account B 同时沦陷
```

### With Blast Radius Control（推荐架构）

```
Workload Account A
       ↓ (受限)
[[Shared-Account]]
       ↓ (受限)
Workload Account B

风险：Account A 被攻破 → 仅影响与 Shared Account 的受限连接
      Shared Account → Account B 的连接受独立角色控制
```

## Key Mechanisms

| 机制 | 说明 |
|------|------|
| **独立账号隔离** | 每个 Workload 独立账号，无直接互信 |
| **最小权限角色** | [[TF-State-Bucket-Accessor]] 和 [[Cross-account-ECS-Deploy-Runner-Role]] 仅授予最小必要权限 |
| **Assume Role 临时凭证** | 无长期凭证泄露风险 |
| **审计追踪** | CloudTrail 记录所有跨账号操作 |

## Blast Radius vs. Blast Width

- **Blast Radius**：组件被攻破时的**潜在影响范围**
- **Blast Width**：跨账号直接信任连接的**数量和密度**

降低 Blast Radius 的策略：
1. 减少账号间的直接信任关系
2. 使用 Shared Account 作为唯一信任中介
3. 实施最小权限原则
4. 定期轮换 IAM 角色凭证

## Relationships

- [[Shared-Account]] ← enables ← [[Blast-Radius-Control]]
- [[Cross-account-Terraform-Modules]] ← secures_via ← [[Blast-Radius]]
- [[Assume-Role]] ← minimizes ← [[Blast-Radius]]
- [[AWS-Landing-Zone]] ← designed_for ← [[Blast-Radius-Control]]

## Related Concepts

- [[IAM-Policy]]：最小权限是控制 Blast Radius 的工具
- [[Cross-account-Terraform-Modules]]：Blast Radius 控制是该方案的核心安全价值
- [[Assume-Role]]：临时凭证机制是控制 Blast Radius 的关键技术