À propos Comptes AWS de in AWS Control Tower - AWS Control Tower
Considérations relatives à l'ajout de comptes de sécurité ou de journalisation existantsÀ propos des comptes partagés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

À propos Comptes AWS de in AWS Control Tower

An Compte AWS est le conteneur pour toutes vos propres ressources. Ces ressources incluent les AWS Identity and Access Management (IAM) identités acceptées par le compte, qui déterminent qui a accès à ce compte. IAMles identités peuvent inclure des utilisateurs, des groupes, des rôles, etc. Pour plus d'informations sur l'utilisationIAM, les utilisateurs, les rôles et les politiques dans AWS Control Tower, consultez la section Gestion des identités et des accès dans AWS Control Tower.

Ressources et délai de création du compte

Lorsque AWS Control Tower crée ou inscrit un compte, elle déploie la configuration de ressources minimale nécessaire pour le compte, y compris des ressources sous forme de modèles Account Factory et d'autres ressources dans votre zone de landing zone. Ces ressources peuvent inclure IAM des rôles, des AWS CloudTrail pistes, des produits fournis par Service Catalog et des utilisateurs IAM d'Identity Center. AWSControl Tower déploie également des ressources, conformément à la configuration de contrôle, pour l'unité organisationnelle (UO) dans laquelle le nouveau compte est destiné à devenir un compte membre.

AWSControl Tower orchestre le déploiement de ces ressources en votre nom. Le déploiement peut prendre plusieurs minutes par ressource. Tenez donc compte du temps total avant de créer ou d'inscrire un compte. Pour plus d'informations sur la gestion des ressources de vos comptes, consultezConseils pour créer et modifier les ressources AWS de Control Tower.

Considérations relatives à l'ajout de comptes de sécurité ou de journalisation existants

Avant d'accepter un Compte AWS compte de sécurité ou de connexion, AWS Control Tower vérifie si le compte contient des ressources qui ne répondent pas aux exigences AWS de Control Tower. Par exemple, vous pouvez avoir un bucket de journalisation portant le même nom que celui requis par AWS Control Tower. AWSControl Tower vérifie également que le compte peut fournir des ressources, par exemple en s'assurant que AWS Security Token Service (AWS STS) est activé, que le compte n'est pas suspendu et que AWS Control Tower est autorisée à fournir des ressources au sein du compte.

AWSControl Tower ne supprime aucune ressource existante dans les comptes de journalisation et de sécurité que vous fournissez. Toutefois, si vous choisissez d'activer la fonctionnalité de Région AWS refus, le contrôle de refus par région empêche l'accès aux ressources dans les régions interdites.

À propos des comptes partagés

Trois offres spéciales Comptes AWS sont associées à AWS Control Tower : le compte de gestion, le compte d'audit et le compte d'archivage des journaux. Ces comptes sont généralement appelés comptes partagés, ou parfois comptes principaux.

  • Vous pouvez sélectionner des noms personnalisés pour les comptes d'audit et d'archivage des journaux lorsque vous configurez votre zone de landing zone. Pour plus d'informations sur la modification du nom d'un compte, voir Modification externe des noms de ressources AWS Control Tower.

  • Vous pouvez également spécifier un compte existant Compte AWS en tant que compte de sécurité ou de journalisation AWS Control Tower, lors du processus de configuration initiale de la zone d'atterrissage. Grâce à cette option, AWS Control Tower n'a plus besoin de créer de nouveaux comptes partagés. (Il s'agit d'une sélection unique.)

Pour plus d'informations sur les comptes partagés et leurs ressources associées, consultezRessources créées dans les comptes partagés.

Compte de gestion

Cela Compte AWS lance AWS Control Tower. Par défaut, l'utilisateur root de ce compte et l'IAMutilisateur ou l'utilisateur IAM administrateur de ce compte ont un accès complet à toutes les ressources de votre zone de landing zone.

Note

Il est recommandé de vous connecter en tant qu'utilisateur IAM Identity Center avec des privilèges d'administrateur lorsque vous effectuez des tâches administratives dans la console AWS Control Tower, au lieu de vous connecter en tant qu'utilisateur root ou IAM administrateur pour ce compte.

Pour plus d'informations sur les rôles et les ressources disponibles dans le compte de gestion, consultezRessources créées dans les comptes partagés.

Compte d'archivage des journaux

Le compte partagé d'archivage du journal est configuré automatiquement lorsque vous créez votre zone de landing zone.

Ce compte contient un compartiment Amazon S3 central pour stocker une copie de tous les comptes AWS CloudTrail et les fichiers AWS Config journaux de tous les autres comptes de votre zone de landing zone. À titre de bonne pratique, nous recommandons de restreindre l'accès aux comptes d'archivage des journaux aux équipes chargées de la conformité et des enquêtes, ainsi qu'à leurs outils de sécurité ou d'audit associés. Ce compte peut être utilisé pour des audits de sécurité automatisés ou pour héberger des fonctionnalités personnalisées AWS Config Rules, telles que des fonctions Lambda, afin d'effectuer des actions correctives.

Politique relative aux compartiments Amazon S3

Pour les versions 3.3 et ultérieures de AWS Control Tower landing zone, les comptes doivent remplir une aws:SourceOrgID condition pour toute autorisation d'écriture sur votre compartiment d'audit. Cette condition garantit que CloudTrail seuls les comptes de votre organisation peuvent écrire des journaux dans votre compartiment S3 ; elle empêche les CloudTrail journaux extérieurs à votre organisation d'écrire dans votre compartiment AWS Control Tower S3. Pour de plus amples informations, veuillez consulter AWSZone d'atterrissage de la Control Tower, version 3.3.

Pour plus d'informations sur les rôles et les ressources disponibles dans le compte d'archivage des journaux, voir Archiver les ressources du compte

Note

Ces journaux ne peuvent pas être modifiés. Tous les journaux sont conservés à des fins d'audit et d'enquêtes de conformité liées à l'activité du compte.

Compte d'audit

Ce compte partagé est configuré automatiquement lorsque vous créez votre zone de landing zone.

Le compte d'audit doit être réservé aux équipes chargées de la sécurité et de la conformité ayant des rôles intercomptes d'auditeur (lecture seule) et d'administrateur (accès complet) pour tous les comptes de la zone de landing zone. Ces rôles sont destinés à être utilisés par les équipes de sécurité et de conformité pour :

  • Réalisez des audits par le biais de AWS mécanismes tels que l'hébergement de fonctions Lambda basées sur des AWS Config règles personnalisées.

  • Effectuez des opérations de sécurité automatisées, telles que des actions correctives.

Le compte d'audit reçoit également des notifications via le service Amazon Simple Notification Service (AmazonSNS). Trois catégories de notifications peuvent être reçues :

  • Tous les événements de configuration : cette rubrique regroupe toutes les AWS Config notifications CloudTrail de tous les comptes de votre zone de landing zone.

  • Notifications de sécurité agrégées : cette rubrique regroupe toutes les notifications de sécurité relatives à des CloudWatch événements spécifiques, à des événements de modification du statut de AWS Config Rules conformité et à des GuardDuty résultats.

  • Notifications de dérive : cette rubrique regroupe tous les avertissements de dérive découverts sur tous les comptesOUs, utilisateurs et SCPs dans votre zone de landing zone. Pour plus d'informations sur la dérive, voirDétectez et corrigez les dérives dans AWS Control Tower.

Les notifications d'audit déclenchées au sein d'un compte membre peuvent également envoyer des alertes à une SNS rubrique Amazon locale. Cette fonctionnalité permet aux administrateurs de compte de s'abonner aux notifications d'audit spécifiques à un compte de membre individuel. Les administrateurs peuvent ainsi résoudre les problèmes qui concernent un compte individuel, tout en regroupant toutes les notifications de compte sur votre compte d'audit centralisé. Pour plus d'informations, consultez le Guide du développeur Amazon Simple Notification Service.

Pour plus d'informations sur les rôles et les ressources disponibles dans le compte d'audit, consultezRessources du compte d'audit.

Pour plus d'informations sur l'audit programmatique, voir Rôles programmatiques et relations de confiance pour le compte d'audit AWS Control Tower.

Important

L'adresse e-mail que vous fournissez pour le compte d'audit reçoit des e-mails de AWS notification et de confirmation d'abonnement de la part de toutes les Région AWS entreprises prises en charge par AWS Control Tower. Pour recevoir des e-mails de conformité sur votre compte d'audit, vous devez choisir le lien de confirmation d'abonnement contenu dans chaque e-mail envoyé par chaque e-mail Région AWS pris en charge par AWS Control Tower.