Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Comment fonctionne AWS Control Tower
Cette section décrit de manière détaillée le fonctionnement AWS de Control Tower. Votre zone de landing zone est un environnement multi-comptes bien conçu pour toutes vos ressources. AWS Vous pouvez utiliser cet environnement pour appliquer les réglementations de conformité à tous vos AWS comptes.
Structure d'une zone d'atterrissage d'une AWS Control Tower
La structure d'une zone d'atterrissage dans AWS Control Tower est la suivante :
-
Root — Le parent qui contient tous les autres éléments OUs de votre zone de landing zone.
-
UO de sécurité — Cette UO contient les comptes d'archive des journaux et d'audit. Ces comptes sont souvent appelés comptes partagés. Lorsque vous lancez votre zone de landing zone, vous pouvez choisir des noms personnalisés pour ces comptes partagés, et vous avez la possibilité d'intégrer les AWS comptes existants dans AWS Control Tower pour des raisons de sécurité et de connexion. Toutefois, ils ne peuvent pas être renommés ultérieurement, et les comptes existants ne peuvent pas être ajoutés pour des raisons de sécurité et de journalisation après le lancement initial.
-
OU Sandbox — L'UO Sandbox est créée lorsque vous lancez votre zone d'atterrissage, si vous l'activez. Ce compte enregistré et d'autres comptes enregistrés OUs contiennent les comptes inscrits avec lesquels vos utilisateurs travaillent pour effectuer leurs AWS charges de travail.
-
IAMRépertoire Identity Center : ce répertoire héberge les utilisateurs de votre IAM Identity Center. Il définit l'étendue des autorisations pour chaque utilisateur IAM d'Identity Center.
-
IAMUtilisateurs de l'Identity Center : il s'agit des identités que vos utilisateurs peuvent adopter pour exécuter leurs AWS charges de travail dans votre zone de landing zone.
Que se passe-t-il lorsque vous configurez une zone d'atterrissage
Lorsque vous configurez une zone d'atterrissage, AWS Control Tower effectue les actions suivantes sur votre compte de gestion en votre nom :
-
Crée deux unités AWS Organizations organisationnelles (OUs) : Security et Sandbox (facultatif), contenues dans la structure racine de l'organisation.
-
Crée ou ajoute deux comptes partagés dans l'unité d'organisation de sécurité : le compte Log Archive et le compte Audit.
-
Crée un annuaire cloud natif dans IAM Identity Center, avec des groupes préconfigurés et un accès par authentification unique, si vous choisissez la configuration AWS Control Tower par défaut, ou si cela vous permet de gérer vous-même votre fournisseur d'identité.
-
Applique tous les contrôles préventifs obligatoires pour appliquer les politiques.
-
Applique tous les contrôles de détection obligatoires pour détecter les violations de configuration.
-
Les contrôles préventifs ne sont pas appliqués au compte de gestion.
-
À l'exception du compte de gestion, les contrôles sont appliqués à l'ensemble de l'organisation.
Gérez en toute sécurité les ressources au sein AWS de votre zone d'atterrissage et de vos comptes Control Tower
-
Lorsque vous créez votre zone de landing zone, un certain nombre de AWS ressources sont créées. Pour utiliser AWS Control Tower, vous ne devez pas modifier ou supprimer ces ressources gérées par AWS Control Tower en dehors des méthodes prises en charge décrites dans ce guide. La suppression ou la modification de ces ressources fera entrer votre zone d'atterrissage dans un état inconnu. Pour plus d’informations, consultez Conseils pour la création et la modification des ressources AWS de la Control Tower.
-
Lorsque vous activez les contrôles optionnels (ceux qui sont fortement recommandés ou facultatifs), AWS Control Tower crée AWS des ressources qu'elle gère dans vos comptes. Ne modifiez ni ne supprimez les ressources créées par AWS Control Tower. Cela peut entraîner l'entrée des commandes dans un état inconnu.
Quels sont les comptes partagés ?
Dans AWS Control Tower, les comptes partagés de votre zone de landing zone sont approvisionnés lors de la configuration : le compte de gestion, le compte d'archivage des journaux et le compte d'audit.
Qu'est-ce que le compte de gestion ?
Il s'agit du compte que vous avez créé spécifiquement pour votre zone de landing zone. Ce compte est utilisé pour facturer tout ce qui se trouve dans votre zone de landing zone. Il est également utilisé pour le provisionnement des comptes par Account Factory, ainsi que pour les gérer OUs et les contrôler.
Note
Il n'est pas recommandé d'exécuter des charges de travail de production à partir d'un compte de gestion AWS Control Tower. Créez un compte AWS Control Tower distinct pour gérer vos charges de travail.
Pour de plus amples informations, veuillez consulter Compte de gestion.
Qu'est-ce que le compte d'archivage des journaux ?
Ce compte fonctionne comme un référentiel pour les journaux d'APIactivités et les configurations de ressources de tous les comptes de la zone de landing zone.
Pour de plus amples informations, veuillez consulter Compte d'archivage des journaux.
Qu'est-ce que le compte d'audit ?
Le compte d'audit est un compte restreint conçu pour donner à vos équipes de sécurité et de conformité un accès en lecture et en écriture à tous les comptes de votre zone de landing zone. Depuis le compte d'audit, vous disposez d'un accès par programmation pour passer en revue les comptes, au moyen d'un rôle qui est accordé uniquement aux fonctions Lambda. Le compte d'audit ne vous permet pas de vous connecter manuellement à d'autres comptes. Pour plus d'informations sur les fonctions et les rôles Lambda, voir Configurer une fonction Lambda pour qu'elle assume le rôle d'une autre
Pour de plus amples informations, veuillez consulter Compte d'audit.
Comment fonctionnent les commandes
Un contrôle est une règle de haut niveau qui fournit une gouvernance continue de votre AWS environnement global. Chaque contrôle applique une règle unique, exprimée en langage clair. Vous pouvez modifier les contrôles facultatifs ou fortement recommandés qui sont en vigueur, à tout moment, depuis la console AWS Control Tower ou la AWS Control TowerAPIs. Les contrôles obligatoires sont toujours appliqués et ne peuvent pas être modifiés.
Les contrôles préventifs empêchent les actions de se produire. Par exemple, le contrôle électif appelé Interdire les modifications apportées à la politique de compartiment pour les compartiments Amazon S3 (précédemment appelé Interdire les modifications de politique aux archives de journaux) empêche toute modification de IAM politique au sein du compte partagé d'archives de journaux. Toute tentative de réalisation d'une action empêchée est refusée et consignée dans CloudTrail. La ressource est également connectée AWS Config.
Les contrôles Detective détectent des événements spécifiques lorsqu'ils se produisent et enregistrent l'actionCloudTrail. Par exemple, le contrôle fortement recommandé appelé Detect Whether Encryption is Enabled for Amazon EBS Volumes Attached to Amazon EC2 Instances détecte si un EBS volume Amazon non chiffré est attaché à une EC2 instance dans votre zone de landing zone.
Des contrôles proactifs vérifient si les ressources sont conformes aux politiques et aux objectifs de votre entreprise, avant qu'elles ne soient provisionnées dans vos comptes. Si les ressources ne sont pas conformes, elles ne sont pas provisionnées. Les contrôles proactifs surveillent les ressources qui seraient déployées dans vos comptes au moyen de AWS CloudFormation modèles.
Pour ceux qui connaissent AWS : Les contrôles préventifs d'In AWS Control Tower sont mis en œuvre à l'aide des politiques de contrôle des services (SCPs). Les contrôles Detective sont mis en œuvre avec AWS Config des règles. Les contrôles proactifs sont mis en œuvre avec AWS CloudFormation des crochets.
Rubriques connexes
Comment fonctionne AWS Control Tower avec StackSets
AWSControl Tower permet AWS CloudFormation StackSets de configurer les ressources de vos comptes. Chaque ensemble de piles StackInstances correspond à des comptes et à Régions AWS par compte. AWS Control Tower déploie une instance de stack set par compte et par région.
AWSControl Tower applique des mises à jour à certains comptes et de Régions AWS manière sélective, en fonction AWS CloudFormation des paramètres. Lorsque les mises à jour sont appliquées à certaines instances de pile, d'autres instances de pile peuvent être laissées à l'état Outdated (Obsolète). Ce comportement est attendu et normal.
Lorsqu'une instance de pile passe à l'état Outdated (Obsolète) cela signifie généralement que la pile correspondant à cette instance de pile n'est pas alignée avec le dernier modèle de l'ensemble de piles. La pile reste dans l'ancien modèle, de sorte qu'elle peut ne pas inclure les dernières ressources ou derniers paramètres. La pile est encore complètement utilisable.
Voici un bref résumé du comportement auquel vous pouvez vous attendre, en fonction des AWS CloudFormation paramètres spécifiés lors d'une mise à jour :
Si la mise à jour de l'ensemble de piles inclut des modifications du modèle (c'est-à-dire si les TemplateURL propriétés TemplateBody ou sont spécifiées), ou si la Parameters propriété est spécifiée, AWS CloudFormation marque toutes les instances de pile avec le statut Obsolète avant de mettre à jour les instances de pile dans les comptes spécifiés et Régions AWS. Si la mise à jour de l'ensemble de piles n'inclut aucune modification du modèle ou des paramètres, AWS CloudFormation met à jour les instances de pile dans les comptes et régions spécifiés, tout en conservant le statut d'instance de pile existant pour toutes les autres instances de pile. Pour mettre à jour toutes les instances de pile associées à un jeu de piles, ne spécifiez pas les propriétés Regions ou Accounts.
Pour plus d'informations, voir Mettre à jour votre ensemble de piles dans le guide de AWS CloudFormation l'utilisateur.
