Personnalisez la zone de landing de votre AWS Control Tower - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Personnalisez la zone de landing de votre AWS Control Tower

Certains aspects de votre zone de landing zone AWS Control Tower sont configurables dans la console, tels que la sélection des régions et les contrôles optionnels. D'autres modifications peuvent être apportées en dehors de la console, grâce à l'automatisation.

Par exemple, vous pouvez créer des personnalisations plus poussées de votre zone d'atterrissage grâce à la fonctionnalité Customizations for AWS Control Tower, une structure de personnalisation de GitOps type C qui fonctionne avec les AWS CloudFormation modèles et les événements du cycle de vie d'AWS Control Tower.

Personnalisation depuis la console AWS Control Tower

Pour personnaliser votre zone de landing zone, suivez les étapes indiquées par la console AWS Control Tower.

Sélectionnez des noms personnalisés lors de la configuration
Conseil

N'oubliez pas que le fait de renommer une unité d' AWS Organizations organisation ne met pas à jour le produit provisionné correspondant dans Account Factory. Pour mettre à jour automatiquement le produit provisionné (et éviter toute dérive), vous devez exécuter l'opération de l'unité d'organisation via AWS Control Tower, notamment en créant, en supprimant ou en réenregistrant une unité d'organisation.

Sélectionnez AWS les régions
  • Vous pouvez personnaliser votre zone de landing zone en sélectionnant des AWS régions spécifiques pour la gouvernance. Suivez les étapes indiquées dans la console AWS Control Tower.

  • Vous pouvez sélectionner et désélectionner les AWS régions à des fins de gouvernance lorsque vous mettez à jour votre zone de landing zone.

  • Vous pouvez définir le contrôle Region Deny sur Activé ou Non activé, et contrôler l'accès des utilisateurs à la plupart des AWS services dans les AWS régions non gouvernées.

Pour plus d'informations sur les domaines Régions AWS dans lesquels le CfCT est soumis à des limites de déploiement, consultezLimites de contrôle.

Personnalisez en ajoutant des commandes facultatives
  • Les contrôles facultatifs et fortement recommandés sont facultatifs, ce qui signifie que vous pouvez personnaliser le niveau d'application pour votre zone d'atterrissage en choisissant ceux que vous souhaitez activer. Les commandes facultatives ne sont pas activées par défaut.

  • Les contrôles facultatifs de résidence des données vous permettent de personnaliser les régions dans lesquelles vous stockez vos données et d'autoriser l'accès à celles-ci.

  • Les contrôles optionnels inclus dans la norme Security Hub intégrée vous permettent de scanner votre environnement AWS Control Tower afin de détecter les risques de sécurité.

  • Les contrôles proactifs optionnels vous permettent de vérifier vos AWS CloudFormation ressources avant qu'elles ne soient provisionnées, afin de vous assurer que les nouvelles ressources seront conformes aux objectifs de contrôle de votre environnement.

Personnalisez vos AWS CloudTrail sentiers
  • Lorsque vous mettez à jour votre zone de landing zone vers la version 3.0 ou ultérieure, vous pouvez choisir d'accepter ou de refuser les CloudTrail parcours au niveau de l'organisation gérés par AWS Control Tower. Vous pouvez modifier cette sélection à chaque fois que vous mettez à jour votre zone de landing zone. AWS Control Tower crée une trace au niveau de l'organisation dans votre compte de gestion, et cette trace passe au statut actif ou inactif, selon votre choix. La zone d'atterrissage 3.0 ne prend pas en charge les CloudTrail sentiers au niveau du compte ; toutefois, si vous en avez besoin, vous pouvez configurer et gérer vos propres sentiers. Vous pouvez avoir à payer des frais supplémentaires pour les sentiers dupliqués.

Créez des comptes de membres personnalisés dans la console

Automatisez les personnalisations en dehors de la console AWS Control Tower

Certaines personnalisations ne sont pas disponibles via la console AWS Control Tower, mais elles peuvent être mises en œuvre de différentes manières. Par exemple :

  • Vous pouvez personnaliser les comptes pendant le provisionnement, dans un flux de travail de GitOps type C, avec Account Factory for Terraform (AFT).

    AFT est déployé avec un module Terraform, disponible dans le référentiel AFT.

  • Vous pouvez personnaliser la zone d'atterrissage de votre AWS Control Tower grâce à Customizations for AWS Control Tower (CfCT), un ensemble de fonctionnalités basé sur des AWS CloudFormation modèles et des politiques de contrôle des services (SCP). Vous pouvez déployer les modèles et politiques personnalisés sur des comptes individuels et des unités organisationnelles (UO) au sein de votre organisation.

    Le code source de CfCT est disponible dans un GitHub dépôt.

Avantages des personnalisations pour AWS Control Tower (CfCT)

L'ensemble de fonctionnalités que nous appelons Customizations for AWS Control Tower (CfCT) vous permet de créer des personnalisations plus étendues pour votre zone d'atterrissage que celles que vous pouvez créer dans la console AWS Control Tower. Il propose un processus automatisé de GitOps type X. Vous pouvez remodeler votre zone d'atterrissage pour répondre aux besoins de votre entreprise.

Ce processus infrastructure-as-codede personnalisation intègre des AWS CloudFormation modèles aux politiques de contrôle des AWS services (SCP) et aux événements du cycle de vie d'AWS Control Tower, afin que vos déploiements de ressources restent synchronisés avec votre zone de landing zone. Par exemple, lorsque vous créez un nouveau compte avec Account Factory, les ressources associées au compte et à l'unité d'organisation peuvent être déployées automatiquement.

Note

Contrairement à Account Factory et AFT, CfCT n'est pas spécifiquement destiné à créer de nouveaux comptes, mais à personnaliser les comptes et les unités d'organisation dans votre zone de landing zone en déployant les ressources que vous spécifiez.

Avantages
  • Développez un AWS environnement personnalisé et sécurisé — Vous pouvez développer plus rapidement votre environnement AWS Control Tower multi-comptes et intégrer les AWS meilleures pratiques dans un flux de travail de personnalisation reproductible.

  • Instanciez vos exigences : vous pouvez personnaliser la zone de landing de votre AWS Control Tower en fonction des besoins de votre entreprise, à l'aide des AWS CloudFormation modèles et des politiques de contrôle des services qui expriment vos intentions en matière de politique.

  • Automatisez davantage grâce aux événements du cycle de vie d'AWS Control Tower : les événements du cycle de vie vous permettent de déployer des ressources en fonction de la fin d'une série d'événements précédente. Vous pouvez compter sur un événement du cycle de vie pour vous aider à déployer automatiquement des ressources sur des comptes et des unités d'organisation.

  • Étendez votre architecture réseau : vous pouvez déployer des architectures réseau personnalisées qui améliorent et protègent votre connectivité, comme une passerelle de transit.

Exemples supplémentaires de CfCT

Pour plus d'informations sur l'architecture AWS de référence de sécurité, consultez les pages de conseils AWS prescriptifs.