Informazioni su Account AWS in AWS Control Tower - AWS Control Tower
Considerazioni sull'utilizzo degli account di sicurezza o di registrazione esistentiInformazioni sugli account condivisi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Informazioni su Account AWS in AWS Control Tower

An Account AWS è il contenitore per tutte le risorse di tua proprietà. Queste risorse includono le AWS Identity and Access Management (IAM) identità accettate dall'account, che determinano chi ha accesso a quell'account. IAMle identità possono includere utenti, gruppi, ruoli e altro. Per ulteriori informazioni sull'utilizzo di utentiIAM, ruoli e policy in AWS Control Tower, consulta Gestione delle identità e degli accessi in AWS Control Tower.

Risorse e ora di creazione dell'account

Quando AWS Control Tower crea o registra un account, implementa la configurazione minima delle risorse necessaria per l'account, incluse le risorse sotto forma di modelli Account Factory e altre risorse nella landing zone. Queste risorse possono includere IAM ruoli, AWS CloudTrail percorsi, prodotti forniti da Service Catalog e utenti IAM dell'Identity Center. AWSControl Tower distribuisce anche le risorse, come richiesto dalla configurazione di controllo, per l'unità organizzativa (OU) in cui il nuovo account è destinato a diventare un account membro.

AWSControl Tower orchestra l'implementazione di queste risorse per tuo conto. Potrebbero essere necessari diversi minuti per risorsa per completare la distribuzione, quindi considera il tempo totale prima di creare o registrare un account. Per ulteriori informazioni sulla gestione delle risorse nei tuoi account, consultaLinee guida per la creazione e la modifica delle risorse AWS Control Tower.

Considerazioni sull'utilizzo degli account di sicurezza o di registrazione esistenti

Prima di accettare un Account AWS account di sicurezza o di registrazione, AWS Control Tower verifica l'eventuale presenza di risorse in conflitto con i requisiti AWS della Control Tower. Ad esempio, potresti avere un bucket di registrazione con lo stesso nome richiesto da AWS Control Tower. Inoltre, AWS Control Tower verifica che l'account sia in grado di effettuare il provisioning delle risorse, ad esempio assicurando che AWS Security Token Service (AWS STS) sia abilitato, che l'account non sia sospeso e che AWS Control Tower sia autorizzata a fornire risorse all'interno dell'account.

AWSControl Tower non rimuove alcuna risorsa esistente negli account di registrazione e sicurezza forniti. Tuttavia, se scegli di abilitare la funzionalità di Regione AWS negazione, il Region deny control impedisce l'accesso alle risorse nelle aree negate.

Informazioni sugli account condivisi

Tre speciali Account AWS sono associati a AWS Control Tower: l'account di gestione, l'account di audit e l'account di archiviazione dei log. Questi account vengono generalmente definiti account condivisi o talvolta account principali.

  • Puoi selezionare nomi personalizzati per gli account di controllo e di archiviazione dei log durante la configurazione della landing zone. Per informazioni sulla modifica del nome di un account, vedere Modificare esternamente i nomi delle risorse AWS Control Tower.

  • Puoi anche specificare un account di sicurezza o di registrazione esistente Account AWS come AWS Control Tower durante il processo di configurazione iniziale della landing zone. Questa opzione elimina la necessità per AWS Control Tower di creare nuovi account condivisi. (Questa è una selezione una tantum).

Per ulteriori informazioni sugli account condivisi e sulle risorse associate, consultaRisorse create negli account condivisi.

Gestione dell'account

Questo Account AWS avvia AWS Control Tower. Per impostazione predefinita, l'utente root di questo account e l'IAMutente o l'utente IAM amministratore di questo account hanno pieno accesso a tutte le risorse all'interno della landing zone.

Nota

Come procedura consigliata, consigliamo di accedere come utente IAM Identity Center con privilegi di amministratore quando si eseguono funzioni amministrative all'interno della console AWS Control Tower, anziché accedere come utente root o utente IAM amministratore per questo account.

Per ulteriori informazioni sui ruoli e le risorse disponibili nell'account di gestione, vedereRisorse create negli account condivisi.

Account di archivio dei log

L'account condiviso dell'archivio dei log viene configurato automaticamente quando crei la landing zone.

Questo account contiene un bucket Amazon S3 centrale per l'archiviazione di una copia di tutti i file AWS CloudTrail e di AWS Config registro per tutti gli altri account nella tua landing zone. Come best practice, consigliamo di limitare l'accesso agli account di archiviazione dei log ai team responsabili della conformità e delle indagini e ai relativi strumenti di sicurezza o controllo. Questo account può essere utilizzato per controlli di sicurezza automatici o per ospitare funzioni personalizzate Regole di AWS Config, come le funzioni Lambda, per eseguire azioni correttive.

Politica sui bucket Amazon S3

Per la versione 3.3 e successive della zona di atterraggio di AWS Control Tower, gli account devono soddisfare una aws:SourceOrgID condizione per qualsiasi autorizzazione di scrittura nel bucket Audit. Questa condizione garantisce che nel bucket S3 sia possibile scrivere i log CloudTrail solo per conto degli account all'interno dell'organizzazione; impedisce ai CloudTrail log esterni all'organizzazione di scrivere nel bucket Control Tower AWS S3. Per ulteriori informazioni, consulta AWSControl Tower landing zone versione 3.3.

Per ulteriori informazioni sui ruoli e le risorse disponibili nell'account di archiviazione dei log, consulta Registra e archivia le risorse dell'account

Nota

Questi registri non possono essere modificati. Tutti i registri vengono archiviati ai fini delle indagini di controllo e conformità relative all'attività dell'account.

Account di audit

Questo account condiviso viene configurato automaticamente quando crei la landing zone.

L'account di audit dovrebbe essere riservato ai team di sicurezza e conformità con ruoli trasversali di auditor (sola lettura) e amministratore (accesso completo) a tutti gli account nella landing zone. Questi ruoli sono destinati a essere utilizzati dai team di sicurezza e conformità per:

  • Esegui controlli tramite AWS meccanismi, come l'hosting di funzioni Lambda con AWS Config regole personalizzate.

  • Esegui operazioni di sicurezza automatizzate, come azioni di riparazione.

L'account di controllo riceve anche notifiche tramite il servizio Amazon Simple Notification Service (AmazonSNS). È possibile ricevere tre categorie di notifiche:

  • Tutti gli eventi di configurazione: questo argomento aggrega tutte CloudTrail le AWS Config notifiche provenienti da tutti gli account nella tua landing zone.

  • Notifiche di sicurezza aggregate: questo argomento aggrega tutte le notifiche di sicurezza relative a CloudWatch eventi specifici, eventi di modifica dello stato di Regole di AWS Config conformità e risultati. GuardDuty

  • Notifiche di deriva: questo argomento aggrega tutti gli avvisi di deriva rilevati in tutti gli accountOUs, gli utenti e nella tua SCPs landing zone. Per ulteriori informazioni su drift, consulta. Rileva e risolvi la deriva in AWS Control Tower

Le notifiche di controllo che vengono attivate all'interno di un account membro possono anche inviare avvisi su un argomento Amazon SNS locale. Questa funzionalità consente agli amministratori degli account di iscriversi alle notifiche di controllo specifiche per un singolo account membro. Di conseguenza, gli amministratori possono risolvere i problemi che riguardano un singolo account, aggregando comunque tutte le notifiche relative all'account di controllo centralizzato. Per ulteriori informazioni, consulta la Guida per gli sviluppatori di Amazon Simple Notification Service.

Per ulteriori informazioni sui ruoli e le risorse disponibili nell'account di controllo, vedere. Controlla le risorse dell'account

Per ulteriori informazioni sul controllo programmatico, vedere Ruoli programmatici e relazioni di fiducia per l'account di audit AWS Control Tower.

Importante

L'indirizzo e-mail che fornisci per l'account di controllo riceve e-mail di AWS notifica - conferma dell'abbonamento da tutti quelli Regione AWS supportati da AWS Control Tower. Per ricevere e-mail di conformità nel tuo account di controllo, devi scegliere il link Conferma iscrizione all'interno di ogni e-mail Regione AWS supportata da AWS Control Tower.