Passen Sie Ihre AWS Control Tower Tower-Landezone an

Wählen Sie bei der Einrichtung benutzerdefinierte Namen aus

• Sie können während der Einrichtung die Namen Ihrer Organisationseinheiten auf oberster Ebene auswählen. Sie können Ihre Organisationseinheiten jederzeit über die AWS Organizations Konsole umbenennen. Wenn Sie jedoch Änderungen an Ihren Organisationseinheiten vornehmen, AWS Organizations kann dies zu reparierbaren Abweichungen führen.

• Sie können die Namen Ihrer gemeinsamen Audit - und Log Archive-Konten auswählen, aber Sie können die Namen nach der Einrichtung nicht mehr ändern. (Dies ist eine einmalige Auswahl.)

Wählen Sie Regionen aus AWS

• Sie können Ihre landing zone anpassen, indem Sie bestimmte AWS Regionen für die Verwaltung auswählen. Folgen Sie den Schritten in der AWS Control Tower Tower-Konsole.

• Sie können AWS Regionen für die Verwaltung auswählen und deren Auswahl aufheben, wenn Sie Ihre landing zone aktualisieren.

• Sie können die Option „Region verweigern“ auf „Aktiviert“ oder „Nicht aktiviert“ setzen und den Benutzerzugriff auf die meisten AWS Dienste in Regionen ohne Regierung kontrollieren. AWS

Passen Sie es an, indem Sie optionale Steuerelemente hinzufügen

• Dringend empfohlene und optionale Kontrollen sind optional, was bedeutet, dass Sie den Grad der Durchsetzung für Ihre landing zone anpassen können, indem Sie auswählen, welche aktiviert werden sollen. Optionale Kontrollen sind standardmäßig nicht aktiviert.

• Mit den optionalen Steuerelementen zur Datenresidenz können Sie die Regionen anpassen, in denen Sie Ihre Daten speichern, und den Zugriff darauf gewähren.

• Mit den optionalen Kontrollen, die Teil des integrierten Security Hub Hub-Standards sind, können Sie Ihre AWS Control Tower Tower-Umgebung scannen, um nach Sicherheitsrisiken zu suchen.

• Mit den optionalen proaktiven Kontrollen können Sie Ihre AWS CloudFormation Ressourcen überprüfen, bevor sie bereitgestellt werden, um sicherzustellen, dass die neuen Ressourcen den Kontrollzielen Ihrer Umgebung entsprechen.

Passen Sie Ihre Trails individuell an AWS CloudTrail

• Wenn Sie Ihre landing zone auf Version 3.0 oder höher aktualisieren, können Sie wählen, ob Sie die von AWS Control Tower verwalteten CloudTrail Trails auf Organisationsebene aktivieren oder deaktivieren möchten. Sie können diese Auswahl jederzeit ändern, wenn Sie Ihre landing zone aktualisieren. AWS Control Tower erstellt einen Trail auf Organisationsebene in Ihrem Verwaltungskonto, und dieser Trail wechselt je nach Ihrer Wahl in den Status Aktiv oder Inaktiv. Landing Zone 3.0 unterstützt keine CloudTrail Trails auf Kontoebene. Wenn Sie diese jedoch benötigen, können Sie Ihre eigenen Trails konfigurieren und verwalten. Für doppelte Trails können zusätzliche Kosten anfallen.

Erstellen Sie benutzerdefinierte Mitgliedskonten in der Konsole

• Über die AWS Control Tower Tower-Konsole können Sie benutzerdefinierte AWS Control Tower Tower-Mitgliedskonten erstellen und bestehende Mitgliedskonten aktualisieren, um Anpassungen hinzuzufügen. Weitere Informationen finden Sie unter Passen Sie Konten mit Account Factory Customization (AFC) an.

• Sie können Konten während der Bereitstellung in einem Workflow im GitOps Stil von Account Factory for Terraform (AFT) anpassen.

  AFT wird mit einem Terraform-Modul bereitgestellt, das im AFT-Repository verfügbar ist.

• Mit Customizations for AWS Control Tower (cFCT), einem Funktionspaket, das auf AWS CloudFormation Vorlagen und Service Control Policies (SCPs) aufbaut, können Sie Ihre AWS Control Tower-Landezone individuell anpassen. Sie können die benutzerdefinierten Vorlagen und Richtlinien für einzelne Konten und Organisationseinheiten (OUs) innerhalb Ihrer Organisation bereitstellen.

  Der Quellcode für CfCT ist in einem GitHub Repository verfügbar.

Vorteile

• Erweitern Sie eine maßgeschneiderte und sichere AWS Umgebung — Sie können Ihre AWS Control Tower Tower-Umgebung mit mehreren Konten schneller erweitern und AWS bewährte Methoden in einen wiederholbaren Anpassungsworkflow integrieren.

• Instanziieren Sie Ihre Anforderungen — Sie können Ihre AWS Control Tower Tower-Landing landing zone an Ihre Geschäftsanforderungen anpassen, indem Sie die AWS CloudFormation Vorlagen und Richtlinien zur Servicekontrolle verwenden, die Ihre politischen Absichten zum Ausdruck bringen.

• Weitere Automatisierung mit Lebenszyklusereignissen von AWS Control Tower — Lifecycle-Ereignisse ermöglichen es Ihnen, Ressourcen auf der Grundlage des Abschlusses einer früheren Reihe von Ereignissen bereitzustellen. Sie können sich darauf verlassen, dass ein Lebenszyklusereignis Ihnen hilft, Ressourcen automatisch für Konten und Organisationseinheiten bereitzustellen.

• Erweitern Sie Ihre Netzwerkarchitektur — Sie können maßgeschneiderte Netzwerkarchitekturen bereitstellen, die Ihre Konnektivität verbessern und schützen, z. B. ein Transit-Gateway.

• Ein Beispiel für einen Netzwerkanwendungsfall mit Anpassungen für AWS Control Tower (cFCT) finden Sie im AWS Architektur-Blogbeitrag Deploy consistent DNS with Service Catalog and AWS Control Tower Customizations.

• Ein konkretes Beispiel zu CfCT und Amazon GuardDuty ist GitHub im aws-samplesRepository verfügbar.

• Weitere Codebeispiele zu CfCT sind als Teil der AWS Security Reference Architecture im aws-samples Repository verfügbar. Viele dieser Beispiele enthalten manifest.yaml Beispieldateien in einem Verzeichnis mit dem Namencustomizations_for_aws_control_tower.