Tentang Akun AWS di AWS Control Tower - AWSControl Tower

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tentang Akun AWS di AWS Control Tower

An Akun AWS adalah wadah untuk semua sumber daya milik Anda. Sumber daya ini mencakup AWS Identity and Access Management (IAM) identitas yang diterima oleh akun, yang menentukan siapa yang memiliki akses ke akun tersebut. IAMidentitas dapat mencakup pengguna, grup, peran, dan banyak lagi. Untuk informasi selengkapnya tentang bekerja denganIAM, pengguna, peran, dan kebijakan di AWS Control Tower, lihat Manajemen identitas dan akses di AWS Control Tower.

Sumber daya dan waktu pembuatan akun

Saat AWS Control Tower membuat atau mendaftarkan akun, Control Tower akan menerapkan konfigurasi sumber daya minimum yang diperlukan untuk akun tersebut, termasuk sumber daya dalam bentuk template Account Factory dan sumber daya lainnya di landing zone Anda. Sumber daya ini dapat mencakup IAM peran, AWS CloudTrail jejak, produk yang disediakan Service Catalog, dan pengguna Pusat IAM Identitas. AWSControl Tower juga menyebarkan sumber daya, seperti yang dipersyaratkan oleh konfigurasi kontrol, untuk unit organisasi (OU) di mana akun baru ditakdirkan untuk menjadi akun anggota.

AWSControl Tower mengatur penyebaran sumber daya ini atas nama Anda. Mungkin diperlukan beberapa menit per sumber daya untuk menyelesaikan penerapan, jadi pertimbangkan total waktu sebelum Anda membuat atau mendaftarkan akun. Untuk informasi selengkapnya tentang mengelola sumber daya di akun Anda, lihatPanduan untuk membuat dan memodifikasi sumber daya AWS Control Tower.

Pertimbangan untuk membawa akun keamanan atau pencatatan yang ada

Sebelum menerima akun Akun AWS keamanan atau logging, AWS Control Tower memeriksa akun untuk sumber daya yang bertentangan dengan persyaratan AWS Control Tower. Misalnya, Anda mungkin memiliki bucket logging dengan nama yang sama dengan AWS Control Tower. Selain itu, AWS Control Tower memvalidasi bahwa akun dapat menyediakan sumber daya; misalnya, dengan memastikan bahwa AWS Security Token Service (AWS STS) diaktifkan, bahwa akun tidak ditangguhkan, dan bahwa AWS Control Tower memiliki izin untuk menyediakan sumber daya dalam akun.

AWSControl Tower tidak menghapus sumber daya yang ada di akun pencatatan dan keamanan yang Anda berikan. Namun, jika Anda memilih untuk mengaktifkan kemampuan penolakan, kontrol penolakan Wilayah mencegah akses ke sumber daya di Wilayah yang ditolak. Wilayah AWS

Tentang akun bersama

Tiga khusus Akun AWS dikaitkan dengan AWS Control Tower; akun manajemen, akun audit, dan akun arsip log. Akun ini biasanya disebut sebagai akun bersama, atau terkadang sebagai akun inti.

  • Anda dapat memilih nama yang disesuaikan untuk akun audit dan arsip log saat menyiapkan landing zone. Untuk informasi tentang mengubah nama akun, lihat Mengubah nama sumber daya AWS Control Tower secara eksternal.

  • Anda juga dapat menentukan yang sudah ada Akun AWS sebagai akun keamanan atau logging AWS Control Tower, selama proses penyiapan landing zone awal. Opsi ini menghilangkan kebutuhan AWS Control Tower untuk membuat akun baru yang dibagikan. (Ini adalah pilihan satu kali.)

Untuk informasi selengkapnya tentang akun bersama dan sumber daya terkait, lihatSumber daya yang dibuat di akun bersama.

Akun manajemen

Ini Akun AWS meluncurkan AWS Control Tower. Secara default, pengguna root untuk akun ini dan IAM pengguna atau pengguna IAM administrator untuk akun ini memiliki akses penuh ke semua sumber daya dalam landing zone Anda.

catatan

Sebagai praktik terbaik, kami merekomendasikan masuk sebagai pengguna Pusat IAM Identitas dengan hak istimewa Administrator saat melakukan fungsi administratif dalam konsol AWS Control Tower, alih-alih masuk sebagai pengguna root atau pengguna IAM administrator untuk akun ini.

Untuk informasi selengkapnya tentang peran dan sumber daya yang tersedia di akun manajemen, lihatSumber daya yang dibuat di akun bersama.

Akun arsip log

Akun bersama arsip log diatur secara otomatis saat Anda membuat landing zone.

Akun ini berisi bucket Amazon S3 pusat untuk menyimpan salinan semua AWS CloudTrail dan AWS Config log file untuk semua akun lain di landing zone Anda. Sebagai praktik terbaik, kami merekomendasikan untuk membatasi akses akun arsip log ke tim yang bertanggung jawab atas kepatuhan dan investigasi, serta alat keamanan atau audit terkait mereka. Akun ini dapat digunakan untuk audit keamanan otomatis, atau untuk meng-host kustom Aturan AWS Config, seperti fungsi Lambda, untuk melakukan tindakan remediasi.

Kebijakan bucket Amazon S3

Untuk AWS Control Tower landing zone versi 3.3 dan yang lebih baru, akun harus memenuhi aws:SourceOrgID persyaratan untuk izin menulis apa pun ke bucket Audit Anda. Kondisi ini memastikan bahwa CloudTrail hanya dapat menulis log atas nama akun dalam organisasi Anda ke bucket S3 Anda; ini mencegah CloudTrail log di luar organisasi Anda menulis ke bucket AWS Control Tower S3 Anda. Untuk informasi selengkapnya, lihat AWSControl Tower landing zone versi 3.3.

Untuk informasi selengkapnya tentang peran dan sumber daya yang tersedia di akun arsip log, lihat Sumber daya akun arsip log

catatan

Log ini tidak dapat diubah. Semua log disimpan untuk tujuan audit dan investigasi kepatuhan yang terkait dengan aktivitas akun.

Akun audit

Akun bersama ini diatur secara otomatis saat Anda membuat landing zone.

Akun audit harus dibatasi untuk tim keamanan dan kepatuhan dengan peran lintas akun auditor (read-only) dan administrator (akses penuh) untuk semua akun di landing zone. Peran ini dimaksudkan untuk digunakan oleh tim keamanan dan kepatuhan untuk:

  • Lakukan audit melalui AWS mekanisme, seperti menghosting fungsi Lambda AWS Config aturan kustom.

  • Lakukan operasi keamanan otomatis, seperti tindakan remediasi.

Akun audit juga menerima pemberitahuan melalui layanan Amazon Simple Notification Service (AmazonSNS). Tiga kategori notifikasi dapat diterima:

  • Semua Peristiwa Konfigurasi — Topik ini menggabungkan semua CloudTrail dan AWS Config pemberitahuan dari semua akun di landing zone Anda.

  • Pemberitahuan Keamanan Agregat — Topik ini menggabungkan semua pemberitahuan keamanan dari CloudWatch peristiwa tertentu, peristiwa perubahan status Aturan AWS Config kepatuhan, dan GuardDuty temuan.

  • Pemberitahuan Drift — Topik ini menggabungkan semua peringatan drift yang ditemukan di semua akun, penggunaOUs, dan di SCPs landing zone Anda. Untuk informasi lebih lanjut tentang drift, lihatMendeteksi dan mengatasi penyimpangan di AWS Control Tower.

Pemberitahuan audit yang dipicu dalam akun anggota juga dapat mengirim peringatan ke SNS topik Amazon lokal. Fungsi ini memungkinkan administrator akun untuk berlangganan pemberitahuan audit yang khusus untuk akun anggota individu. Akibatnya, administrator dapat menyelesaikan masalah yang memengaruhi akun individual, sambil tetap menggabungkan semua pemberitahuan akun ke akun audit terpusat Anda. Untuk informasi lebih lanjut, lihat Panduan Developer Amazon Simple Notification Service.

Untuk informasi selengkapnya tentang peran dan sumber daya yang tersedia di akun audit, lihatSumber daya akun audit.

Untuk informasi selengkapnya tentang audit terprogram, lihat Peran terprogram dan hubungan kepercayaan untuk akun audit AWS Control Tower.

penting

Alamat email yang Anda berikan untuk akun audit menerima email AWS Pemberitahuan - Konfirmasi Langganan dari setiap yang Wilayah AWS didukung oleh AWS Control Tower. Untuk menerima email kepatuhan di akun audit Anda, Anda harus memilih tautan Konfirmasi langganan dalam setiap email dari masing-masing yang Wilayah AWS didukung oleh AWS Control Tower.