Acerca de Cuentas de AWS in AWS Control Tower - AWS Control Tower
Consideraciones a la hora de incorporar las cuentas de seguridad o de registro existentesAcerca de las cuentas compartidas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acerca de Cuentas de AWS in AWS Control Tower

An Cuenta de AWS es el contenedor de todos los recursos que posee. Estos recursos incluyen las identidades AWS Identity and Access Management (IAM) aceptadas por la cuenta, que determinan quién tiene acceso a esa cuenta. IAMlas identidades pueden incluir usuarios, grupos, roles y más. Para obtener más información sobre cómo trabajar con los usuariosIAM, las funciones y las políticas en la Torre de AWS Control, consulte Administración de identidad y acceso en la Torre de AWS Control.

Recursos y tiempo de creación de la cuenta

Cuando AWS Control Tower crea o registra una cuenta, despliega la configuración de recursos mínima necesaria para la cuenta, incluidos los recursos en forma de plantillas de Account Factory y otros recursos de tu landing zone. Estos recursos pueden incluir IAM funciones, AWS CloudTrail rutas, productos aprovisionados por Service Catalog y usuarios de IAM Identity Center. AWSControl Tower también despliega recursos, según lo requiera la configuración de control, para la unidad organizativa (OU) en la que la nueva cuenta está destinada a convertirse en una cuenta de miembro.

AWSControl Tower organiza el despliegue de estos recursos en su nombre. Es posible que se necesiten varios minutos por recurso para completar la implementación, así que tenga en cuenta el tiempo total antes de crear o inscribir una cuenta. Para obtener más información sobre la administración de los recursos de sus cuentas, consulteGuía para crear y modificar los recursos AWS de la Torre de Control.

Consideraciones a la hora de incorporar las cuentas de seguridad o de registro existentes

Antes de aceptar una cuenta Cuenta de AWS como cuenta de seguridad o de registro, la Torre de AWS Control comprueba si hay recursos que no cumplan con los requisitos de la Torre de AWS Control. Por ejemplo, es posible que tengas un depósito de registro con el mismo nombre que requiere AWS Control Tower. Además, AWS Control Tower valida que la cuenta puede aprovisionar recursos; por ejemplo, asegurándose de que AWS Security Token Service (AWS STS) esté habilitado, que la cuenta no esté suspendida y que AWS Control Tower tenga permiso para aprovisionar recursos dentro de la cuenta.

AWSControl Tower no elimina ningún recurso existente en las cuentas de registro y seguridad que usted proporciona. Sin embargo, si decide habilitar la función de Región de AWS denegación, el control de denegación regional impide el acceso a los recursos de las regiones denegadas.

Acerca de las cuentas compartidas

Tres especiales Cuentas de AWS están asociadas a AWS Control Tower: la cuenta de administración, la cuenta de auditoría y la cuenta de archivo de registros. Por lo general, estas cuentas se denominan cuentas compartidas o, a veces, cuentas principales.

  • Puedes seleccionar nombres personalizados para las cuentas de auditoría y archivo de registros al configurar tu landing zone. Para obtener información sobre cómo cambiar el nombre de una cuenta, consulte Cambiar externamente los nombres de los recursos AWS de la Torre de Control Tower.

  • También puedes especificar una cuenta existente Cuenta de AWS como cuenta de seguridad o de registro de la Torre de AWS Control Tower durante el proceso inicial de configuración de la landing zone. Esta opción elimina la necesidad AWS de que Control Tower cree nuevas cuentas compartidas. (Esta es una selección que se realiza una sola vez).

Para obtener más información sobre las cuentas compartidas y sus recursos asociados, consulteRecursos creados en las cuentas compartidas.

Cuenta de administración

Esto Cuenta de AWS lanza la Torre AWS de Control. De forma predeterminada, el usuario root de esta cuenta y el IAM usuario o usuario IAM administrador de esta cuenta tienen acceso total a todos los recursos de tu landing zone.

nota

Como práctica recomendada, recomendamos iniciar sesión como usuario de IAM Identity Center con privilegios de administrador al realizar funciones administrativas en la consola de la Torre de AWS Control Tower, en lugar de iniciar sesión como usuario raíz o usuario IAM administrador de esta cuenta.

Para obtener más información sobre las funciones y los recursos disponibles en la cuenta de administración, consulteRecursos creados en las cuentas compartidas.

Cuenta del archivo de registro

La cuenta compartida del archivo de registros se configura automáticamente al crear tu landing zone.

Esta cuenta contiene un bucket central de Amazon S3 para almacenar una copia de todas las cuentas AWS CloudTrail y los archivos de AWS Config registro de todas las demás cuentas de tu landing zone. Como práctica recomendada, recomendamos restringir el acceso a las cuentas del archivo de registros a los equipos responsables del cumplimiento y las investigaciones, así como a sus herramientas de seguridad o auditoría relacionadas. Esta cuenta se puede usar para auditorías de seguridad automatizadas o para alojar funciones personalizadas Reglas de AWS Config, como Lambda, para realizar acciones de corrección.

Política de bucket de Amazon S3

Para la versión 3.3 y posteriores de AWS Control Tower landing zone, las cuentas deben cumplir una aws:SourceOrgID condición para cualquier permiso de escritura en tu segmento de auditoría. Esta condición garantiza que CloudTrail solo pueda escribir registros en nombre de las cuentas de su organización en su bucket de S3; evita que los CloudTrail registros ajenos a su organización se escriban en su bucket de S3 de la Torre de AWS Control Tower. Para obtener más información, consulte AWSControl Tower landing zone versión 3.3.

Para obtener más información sobre las funciones y los recursos disponibles en la cuenta de archivo de registros, consulte Registra los recursos de la cuenta

nota

Estos registros no se pueden cambiar. Todos los registros se almacenan con fines de auditoría e investigaciones de cumplimiento relacionadas con la actividad de la cuenta.

Cuenta de auditoría

Esta cuenta compartida se configura automáticamente al crear tu landing zone.

La cuenta de auditoría debe estar restringida a los equipos de seguridad y cumplimiento con funciones de auditor (solo lectura) y administrador (acceso completo) en todas las cuentas de la landing zone. Estas funciones están pensadas para que las utilicen los equipos de seguridad y cumplimiento para:

  • Realice auditorías mediante AWS mecanismos, como el alojamiento de funciones Lambda de AWS Config reglas personalizadas.

  • Realice operaciones de seguridad automatizadas, como acciones correctivas.

La cuenta de auditoría también recibe notificaciones a través del servicio Amazon Simple Notification Service (AmazonSNS). Se pueden recibir tres categorías de notificaciones:

  • Todos los eventos de configuración: en este tema se agrupan todos los eventos de configuración CloudTrail y AWS Config las notificaciones de todas las cuentas de tu landing zone.

  • Notificaciones de seguridad agregadas: en este tema se agrupan todas las notificaciones de seguridad de CloudWatch eventos específicos, eventos de cambios en el estado de Reglas de AWS Config cumplimiento y GuardDuty hallazgos.

  • Notificaciones de derrape: en este tema se recopilan todas las advertencias de derrape descubiertas en todas las cuentasOUs, usuarios y SCPs en tu landing zone. Para obtener más información sobre la deriva, consulteDetecte y resuelva desviaciones en la Torre de Control de AWS.

Las notificaciones de auditoría que se activan en la cuenta de un miembro también pueden enviar alertas a un SNS tema local de Amazon. Esta funcionalidad permite a los administradores de cuentas suscribirse a las notificaciones de auditoría específicas de una cuenta de miembro individual. Como resultado, los administradores pueden resolver los problemas que afectan a una cuenta individual y, al mismo tiempo, agregar todas las notificaciones de la cuenta a su cuenta de auditoría centralizada. Para obtener más información, consulte la Guía para desarrolladores de Amazon Simple Notification Service.

Para obtener más información sobre las funciones y los recursos disponibles en la cuenta de auditoría, consulteAudite los recursos de la cuenta.

Para obtener más información sobre la auditoría programática, consulte Funciones programáticas y relaciones de confianza para la cuenta de auditoría de la Torre AWS de Control Tower.

importante

La dirección de correo electrónico que proporciones para la cuenta de auditoría recibe los correos electrónicos de AWS notificación y confirmación de suscripción de todos los servicios Región de AWS compatibles con AWS Control Tower. Para recibir correos electrónicos de cumplimiento en su cuenta de auditoría, debe elegir el enlace Confirmar suscripción en cada correo electrónico de cada correo electrónico Región de AWS compatible con AWS Control Tower.