Personnalisez la zone de landing de votre AWS Control Tower

Sélectionnez des noms personnalisés lors de la configuration

• Vous pouvez sélectionner les noms de vos unités d'organisation de premier niveau lors de la configuration. Vous pouvez renommer vos unités d'organisation à tout moment à l'aide de la AWS Organizations console, mais leur modification AWS Organizations peut entraîner une dérive réparable.

• Vous pouvez sélectionner les noms de vos comptes d'audit et d'archivage des journaux partagés, mais vous ne pouvez pas les modifier après la configuration. (Il s'agit d'une sélection unique.)

Sélectionnez AWS les régions

• Vous pouvez personnaliser votre zone de landing zone en sélectionnant des AWS régions spécifiques pour la gouvernance. Suivez les étapes indiquées dans la console AWS Control Tower.

• Vous pouvez sélectionner et désélectionner les AWS régions à des fins de gouvernance lorsque vous mettez à jour votre zone de landing zone.

• Vous pouvez définir le contrôle Region Deny sur Activé ou Non activé, et contrôler l'accès des utilisateurs à la plupart des AWS services dans les AWS régions non gouvernées.

Personnalisez en ajoutant des commandes facultatives

• Les contrôles facultatifs et fortement recommandés sont facultatifs, ce qui signifie que vous pouvez personnaliser le niveau d'application pour votre zone d'atterrissage en choisissant ceux que vous souhaitez activer. Les commandes facultatives ne sont pas activées par défaut.

• Les contrôles facultatifs de résidence des données vous permettent de personnaliser les régions dans lesquelles vous stockez vos données et d'autoriser l'accès à celles-ci.

• Les contrôles optionnels inclus dans la norme Security Hub intégrée vous permettent de scanner votre environnement AWS Control Tower afin de détecter les risques de sécurité.

• Les contrôles proactifs optionnels vous permettent de vérifier vos AWS CloudFormation ressources avant qu'elles ne soient provisionnées, afin de vous assurer que les nouvelles ressources seront conformes aux objectifs de contrôle de votre environnement.

Personnalisez vos AWS CloudTrail sentiers

• Lorsque vous mettez à jour votre zone de landing zone vers la version 3.0 ou ultérieure, vous pouvez choisir d'accepter ou de refuser les CloudTrail parcours au niveau de l'organisation gérés par AWS Control Tower. Vous pouvez modifier cette sélection à chaque fois que vous mettez à jour votre zone de landing zone. AWS Control Tower crée une trace au niveau de l'organisation dans votre compte de gestion, et cette trace passe au statut actif ou inactif, selon votre choix. La zone d'atterrissage 3.0 ne prend pas en charge les CloudTrail sentiers au niveau du compte ; toutefois, si vous en avez besoin, vous pouvez configurer et gérer vos propres sentiers. Vous pouvez avoir à payer des frais supplémentaires pour les sentiers dupliqués.

Créez des comptes de membres personnalisés dans la console

• Vous pouvez créer des comptes membres AWS Control Tower personnalisés, et vous pouvez mettre à jour les comptes membres existants pour ajouter des personnalisations, depuis la console AWS Control Tower. Pour plus d’informations, consultez Personnalisez les comptes avec Account Factory Customization (AFC).

• Vous pouvez personnaliser les comptes pendant le provisionnement, dans un flux de travail de GitOps type C, avec Account Factory for Terraform (AFT).

  AFT est déployé avec un module Terraform, disponible dans le référentiel AFT.

• Vous pouvez personnaliser la zone d'atterrissage de votre AWS Control Tower grâce à Customizations for AWS Control Tower (CfCT), un ensemble de fonctionnalités basé sur des AWS CloudFormation modèles et des politiques de contrôle des services (SCP). Vous pouvez déployer les modèles et politiques personnalisés sur des comptes individuels et des unités organisationnelles (UO) au sein de votre organisation.

  Le code source de CfCT est disponible dans un GitHub dépôt.

Avantages

• Développez un AWS environnement personnalisé et sécurisé — Vous pouvez développer plus rapidement votre environnement AWS Control Tower multi-comptes et intégrer les AWS meilleures pratiques dans un flux de travail de personnalisation reproductible.

• Instanciez vos exigences : vous pouvez personnaliser la zone de landing de votre AWS Control Tower en fonction des besoins de votre entreprise, à l'aide des AWS CloudFormation modèles et des politiques de contrôle des services qui expriment vos intentions en matière de politique.

• Automatisez davantage grâce aux événements du cycle de vie d'AWS Control Tower : les événements du cycle de vie vous permettent de déployer des ressources en fonction de la fin d'une série d'événements précédente. Vous pouvez compter sur un événement du cycle de vie pour vous aider à déployer automatiquement des ressources sur des comptes et des unités d'organisation.

• Étendez votre architecture réseau : vous pouvez déployer des architectures réseau personnalisées qui améliorent et protègent votre connectivité, comme une passerelle de transit.

• Un exemple d'utilisation réseau avec Customizations for AWS Control Tower (CfCT) est présenté dans le billet de blog sur l' AWS architecture, Deploy consistent DNS with Service Catalog and AWS Control Tower customizations.

• Un exemple spécifique lié à CfCT et Amazon GuardDuty est disponible GitHub dans le aws-samplesréférentiel.

• Des exemples de code supplémentaires concernant CfCT sont disponibles dans le cadre de l'architecture de référence de AWS sécurité, dans le aws-samplesréférentiel. La plupart de ces exemples contiennent des exemples de manifest.yaml fichiers dans un répertoire nommécustomizations_for_aws_control_tower.