Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Ressources créées dans les comptes partagés
Cette section présente les ressources que AWS Control Tower crée dans les comptes partagés lorsque vous configurez votre zone de landing zone.
Pour plus d'informations sur les ressources relatives aux comptes de membres, consultezConsidérations relatives aux ressources pour Account Factory.
Ressources du compte de gestion
Lorsque vous configurez votre zone de landing zone, les AWS ressources suivantes sont créées dans votre compte de gestion.
| AWSservice | Type de ressource | Nom de la ressource |
|---|---|---|
| AWS Organizations | Comptes | audit log archive |
| AWS Organizations | OUs | Security Sandbox |
| AWS Organizations | Politiques de contrôle de service | aws-guardrails-* |
| AWS CloudFormation | Piles | AWSControlTowerBP-BASELINE-CLOUDTRAIL-MASTER AWSControlTowerBP-BASELINE-CONFIG-MASTER(dans les versions 2.6 et ultérieures) |
| AWS CloudFormation | StackSets |
AWSControlTowerBP-BASELINE-CLOUDTRAIL(Non déployé dans la version 3.0 et versions ultérieures) AWSControlTowerBP_BASELINE_SERVICE_LINKED_ROLE (Deployed in 3.2 and later) AWSControlTowerBP-BASELINE-CLOUDWATCH AWSControlTowerBP-BASELINE-CONFIG AWSControlTowerBP-BASELINE-ROLES AWSControlTowerBP-BASELINE-SERVICE-ROLES AWSControlTowerBP-SECURITY-TOPICS AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-READ-PROHIBITED AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-WRITE-PROHIBITED AWSControlTowerLoggingResources AWSControlTowerSecurityResources AWSControlTowerExecutionRole |
| AWS Service Catalog | Produit (langue française non garantie) | AWSControl Tower Account Factory |
| AWS Config | Agrégateur | aws-controltower-ConfigAggregatorForOrganizations |
| AWS CloudTrail | Journal d’activité | aws-controltower-BaselineCloudTrail |
| Amazon CloudWatch | CloudWatch Journaux | aws-controltower/CloudTrailLogs |
| AWS Identity and Access Management | Rôles | AWSControlTowerAdmin AWSControlTowerStackSetRole AWSControlTowerCloudTrailRolePolicy |
| AWS Identity and Access Management | Politiques | AWSControlTowerServiceRolePolicy AWSControlTowerAdminPolicy AWSControlTowerCloudTrailRolePolicy AWSControlTowerStackSetRolePolicy |
| AWS IAM Identity Center | Groupes d'annuaires | AWSAccountFactory AWSAuditAccountAdmins AWSControlTowerAdmins AWSLogArchiveAdmins AWSLogArchiveViewers AWSSecurityAuditors AWSSecurityAuditPowerUsers AWSServiceCatalogAdmins |
| AWS IAM Identity Center | Jeux d'autorisations | AWSAdministratorAccess AWSPowerUserAccess AWSServiceCatalogAdminFullAccess AWSServiceCatalogEndUserAccess AWSReadOnlyAccess AWSOrganizationsFullAccess |
Note
AWS CloudFormation StackSet BP_BASELINE_CLOUDTRAILIl n'est pas déployé dans les versions 3.0 ou ultérieures de la zone d'atterrissage. Toutefois, elle continue d'exister dans les versions antérieures de la zone d'atterrissage, jusqu'à ce que vous mettiez à jour votre zone d'atterrissage.
Archiver les ressources du compte
Lorsque vous configurez votre zone de landing zone, les AWS ressources suivantes sont créées dans votre compte d'archive de journaux.
| AWSservice | Type de ressource | Nom de la ressource |
|---|---|---|
| AWS CloudFormation | Piles | StackSet-AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-READ-PROHIBITED- StackSet-AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-WRITE-PROHIBITED StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH- StackSet-AWSControlTowerBP-BASELINE-CONFIG- StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL- StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES- StackSet-AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLE-(In 3.2 and later) StackSet-AWSControlTowerBP-BASELINE-ROLES- StackSet-AWSControlTowerLoggingResources- |
| AWS Config | AWS Config Rules | AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_READ_PROHIBITED AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_WRITE_PROHIBIT |
| AWS CloudTrail | Journaux de suivi | aws-controltower-BaselineCloudTrail |
| Amazon CloudWatch | CloudWatch Règles de l'événement | aws-controltower-ConfigComplianceChangeEventRule |
| Amazon CloudWatch | CloudWatch Journaux | /aws/lambda/aws-controltower-NotificationForwarder |
| AWS Identity and Access Management | Rôles | aws-controltower-AdministratorExecutionRole aws-controltower-CloudWatchLogsRole aws-controltower-ConfigRecorderRole aws-controltower-ForwardSnsNotificationRole aws-controltower-ReadOnlyExecutionRole AWSControlTowerExecution |
| AWS Identity and Access Management | Politiques | AWSControlTowerServiceRolePolicy |
| Amazon Simple Notification Service | Rubriques | aws-controltower-SecurityNotifications |
| AWS Lambda | Applications | StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-* |
| AWS Lambda | Fonctions | aws-controltower-NotificationForwarder |
| Amazon Simple Storage Service | Compartiments | aws-controltower-logs-* aws-controltower-s3-access-logs-* |
Ressources du compte d'audit
Lorsque vous configurez votre zone de landing zone, les AWS ressources suivantes sont créées dans votre compte d'audit.
| AWSservice | Type de ressource | Nom de la ressource |
|---|---|---|
| AWS CloudFormation | Piles | StackSet-AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-READ-PROHIBITED- StackSet-AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-WRITE-PROHIBITED- StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH- StackSet-AWSControlTowerBP-BASELINE-CONFIG- StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL- StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES- StackSet-AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLE-(In 3.2 and later) StackSet-AWSControlTowerBP-SECURITY-TOPICS- StackSet-AWSControlTowerBP-BASELINE-ROLES- StackSet-AWSControlTowerSecurityResources-* |
| AWS Config | Agrégateur | aws-controltower-GuardrailsComplianceAggregator |
| AWS Config | AWS Config Rules | AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_READ_PROHIBITED AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_WRITE_PROHIBITED |
| AWS CloudTrail | Journal d’activité | aws-controltower-BaselineCloudTrail |
| Amazon CloudWatch | CloudWatch Règles de l'événement | aws-controltower-ConfigComplianceChangeEventRule |
| Amazon CloudWatch | CloudWatch Journaux | /aws/lambda/aws-controltower-NotificationForwarder |
| AWS Identity and Access Management | Rôles | aws-controltower-AdministratorExecutionRole aws-controltower-CloudWatchLogsRole aws-controltower-ConfigRecorderRole aws-controltower-ForwardSnsNotificationRole aws-controltower-ReadOnlyExecutionRole aws-controltower-AuditAdministratorRole aws-controltower-AuditReadOnlyRole AWSControlTowerExecution |
| AWS Identity and Access Management | Politiques | AWSControlTowerServiceRolePolicy |
| Amazon Simple Notification Service | Rubriques | aws-controltower-AggregateSecurityNotifications aws-controltower-AllConfigNotifications aws-controltower-SecurityNotifications |
| AWS Lambda | Fonctions | aws-controltower-NotificationForwarder |
