Cómo funciona AWS Control Tower - AWS Control Tower
Estructura de una zona de aterrizaje de AWS Control TowerQué sucede cuando se configura una zona de aterrizaje¿Qué son las cuentas compartidas?Cómo funcionan los controlesCómo funciona AWS Control Tower con StackSets

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo funciona AWS Control Tower

En esta sección se describe de forma general cómo funciona AWS Control Tower. Tu landing zone es un entorno multicuenta bien diseñado para todos tus recursos. AWS Puede utilizar este entorno para hacer cumplir las normas de conformidad en todas sus cuentas. AWS

Estructura de una zona de aterrizaje de AWS Control Tower

La estructura de una zona de aterrizaje de AWS Control Tower es la siguiente:

  • Raíz: la raíz principal que contiene a todas OUs las demás de tu landing zone.

  • OU de seguridad: esta OU contiene las cuentas de archivo de registro y auditoría. Estas cuentas suelen denominarse cuentas compartidas. Cuando lance su landing zone, podrá elegir nombres personalizados para estas cuentas compartidas y tendrá la opción de incorporar las AWS cuentas existentes a AWS Control Tower para garantizar la seguridad y el registro. Sin embargo, no se les puede cambiar el nombre más adelante y las cuentas existentes no se pueden añadir por motivos de seguridad y registro tras el lanzamiento inicial.

  • OU de entorno de pruebas: la OU de entorno de pruebas se crea cuando lanza la zona de aterrizaje, si la habilita. Este y otros registros OUs contienen las cuentas inscritas con las que trabajan sus usuarios para realizar sus cargas de trabajo de AWS.

  • Directorio de IAM Identity Center: este directorio contiene los usuarios de IAM Identity Center. Define el ámbito de los permisos para cada usuario de IAM Identity Center.

  • Usuarios del IAM Identity Center: estas son las identidades que sus usuarios pueden asumir para realizar sus AWS cargas de trabajo en su landing zone.

Qué sucede cuando se configura una zona de aterrizaje

Al configurar una zona de aterrizaje, AWS Control Tower realiza en su nombre las siguientes acciones en su cuenta de administración:

  • Crea dos unidades AWS Organizations organizativas (OUs): Seguridad y Sandbox (opcional), incluidas en la estructura raíz de la organización.

  • Crea o agrega dos cuentas compartidas en la OU de seguridad: la cuenta del archivo de registro y la cuenta de auditoría.

  • Crea un directorio nativo en la nube en IAM Identity Center, con grupos preconfigurados y acceso de inicio de sesión único, si elige la configuración predeterminada de AWS Control Tower de AWS, o si le permite administrar automáticamente su proveedor de identidades.

  • Aplica todos los controles preventivos obligatorios para aplicar políticas.

  • Aplica todos los controles de detección obligatorios para detectar infracciones de la configuración.

  • Los controles preventivos no se aplican a la cuenta de administración.

  • Excepto en el caso de la cuenta de administración, los controles se aplican a la organización en su conjunto.

Administración segura de los recursos en su zona de aterrizaje y sus cuentas de AWS Control Tower

  • Cuando creas tu landing zone, se crean varios AWS recursos. Para utilizar AWS Control Tower, no debe modificar ni eliminar estos recursos administrados de AWS Control Tower fuera de los métodos admitidos descritos en esta guía. Eliminar o modificar estos recursos hará que su zona de aterrizaje entre en un estado desconocido. Para obtener más información, consulte Guía para la creación y modificación de recursos de AWS Control Tower

  • Cuando habilita los controles opcionales (aquellos con orientación altamente recomendada o electiva), AWS Control Tower crea AWS recursos que administra en sus cuentas. No modifique ni elimine los recursos creados por AWS Control Tower. Si lo hace, puede provocar que los controles cambien a un estado desconocido.

¿Qué son las cuentas compartidas?

En AWS Control Tower, las tres cuentas compartidas en la zona de aterrizaje no están aprovisionadas durante la configuración: la cuenta de administración, la cuenta del archivo de registro y la cuenta de auditoría.

¿Qué es la cuenta de administración?

Esta es la cuenta creada específicamente para la zona de aterrizaje. Esta cuenta se utiliza para la facturación de todo en la zona de aterrizaje. También se usa para el aprovisionamiento de cuentas en Account Factory, así como para administrarlas OUs y controlarlas.

nota

No se recomienda ejecutar ningún tipo de cargas de trabajo de producción desde una cuenta de administración de AWS Control Tower. Cree una cuenta de AWS Control Tower independiente para ejecutar sus cargas de trabajo.

Para obtener más información, consulte Cuenta de administración.

¿Qué es la cuenta del archivo de registro?

Esta cuenta funciona como un repositorio de registros de actividades de la API y configuraciones de recursos de todas las cuentas de la zona de aterrizaje.

Para obtener más información, consulte Cuenta del archivo de registro.

¿Qué es la cuenta de auditoría?

La cuenta de auditoría es una cuenta restringida diseñada para proporcionar a los equipos de seguridad y conformidad acceso de lectura y escritura a todas las cuentas de su zona de aterrizaje. Desde la cuenta de auditoría, tiene acceso mediante programación para revisar las cuentas, por medio de un rol que solo se concede a las funciones Lambda. La cuenta de auditoría no le permite iniciar sesión en otras cuentas manualmente. Para obtener más información sobre las funciones y los roles de Lambda, consulte Configuración de una función de Lambda para que asuma un rol en otra cuenta de Cuenta de AWS.

Para obtener más información, consulte Cuenta de auditoría.

Cómo funcionan los controles

Un control es una regla de alto nivel que proporciona gobernanza continua para su entorno general de AWS . Cada control aplica una única regla y se expresa en lenguaje normal. Puede cambiar los controles opcionales o altamente recomendados que estén en vigor en cualquier momento desde la consola de la Torre de Control de AWS o la Torre de Control de AWS. APIs Los controles obligatorios siempre se aplican y no se pueden cambiar.

Los controles preventivos evitan que se produzcan acciones. Por ejemplo, el control opcional denominado Prohibir cambios en la política de bucket para buckets de Amazon S3 (anteriormente denominado Prohibir cambios en el archivo de registro relativos a las políticas impide cualquier cambio de política de IAM dentro de la cuenta compartida del archivo de registro. Cualquier intento de realizar una acción preventiva se deniega y se registra en CloudTrail. El recurso también ha iniciado sesión AWS Config.

Los controles de Detección detectan eventos específicos cuando se producen y registran la acciónCloudTrail. Por ejemplo, el control altamente recomendado denominado Detect Beef Enabled for Amazon EBS Volumes Attached to Amazon EC2 Instances detecta si un volumen de Amazon EBS no cifrado está adjunto a una EC2 instancia de su landing zone.

Los controles proactivos comprueban si los recursos cumplen con las políticas y los objetivos de la empresa antes de aprovisionarlos en las cuentas. Si los recursos no cumplen con las normas, no se aprovisionan. Los controles proactivos supervisan los recursos que se desplegarían en sus cuentas mediante plantillas. AWS CloudFormation

Para aquellos que estén familiarizados con AWS: En AWS Control Tower, los controles preventivos se implementan con políticas de control de servicios (SCPs). Los controles de Detective se implementan con AWS Config reglas. Los controles proactivos se implementan con AWS CloudFormation ganchos.

Cómo funciona AWS Control Tower con StackSets

AWS Control Tower se utiliza AWS CloudFormation StackSets para configurar los recursos en sus cuentas. Cada conjunto de pilas tiene StackInstances lo que corresponde a cuentas y a Regiones de AWS por cuenta. AWS Control Tower implementa una instancia de conjunto de pilas por cuenta y región.

AWS Control Tower aplica las actualizaciones a determinadas cuentas y de Regiones de AWS forma selectiva, en función de AWS CloudFormation los parámetros. Cuando las actualizaciones se aplican a algunas instancias de la pila, otras instancias de la pila pueden quedar en estado Outdated (Obsoleto). Este es el comportamiento esperado y normal.

Cuando una instancia de pila cambia al estado Outdated (Obsoleto), normalmente significa que la pila correspondiente a esa instancia de pila no está alineada con la última plantilla del conjunto de pilas. La pila permanece en la plantilla más antigua, por lo que es posible que no incluya los últimos recursos o parámetros. La pila sigue siendo completamente utilizable.

A continuación se ofrece un rápido resumen del comportamiento que se puede esperar, basado en los parámetros de AWS CloudFormation que se especifican durante una actualización:

Si la actualización del conjunto de pilas incluye cambios en la plantilla (es decir, si se especifican TemplateURL las propiedades TemplateBody o propiedades), o si se especifica la Parameters propiedad, AWS CloudFormation marca todas las instancias de la pila con el estado Anticuadas antes de actualizar las instancias de la pila de las cuentas especificadas y Regiones de AWS. Si la actualización del conjunto de pilas no incluye cambios en la plantilla o los parámetros, AWS CloudFormation actualiza las instancias de pila de las cuentas y regiones especificadas y deja las demás instancias de pila con el estado de instancia de pila existente. Para actualizar todas las instancias de pila asociadas a un conjunto de pilas, no especifique las propiedades Accounts ni Regions.

Para obtener más información, consulte Actualizar su conjunto de pilas en la Guía del AWS CloudFormation usuario.