Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Personalizza la tua landing zone di AWS Control Tower
Alcuni aspetti della landing zone di AWS Control Tower sono configurabili nella console, come la selezione di regioni e controlli opzionali. Altre modifiche possono essere apportate all'esterno della console, con automazione.
Ad esempio, puoi creare personalizzazioni più ampie della tua landing zone con la funzionalità Customizations for AWS Control Tower, un framework di personalizzazione in GitOps stile che funziona con AWS CloudFormation modelli ed eventi del ciclo di vita di AWS Control Tower.
Personalizzazione dalla console AWS Control Tower
Per apportare queste personalizzazioni alla tua landing zone, segui i passaggi indicati dalla console AWS Control Tower.
Seleziona nomi personalizzati durante la configurazione
-
È possibile selezionare i nomi delle unità organizzative di primo livello durante la configurazione. È possibile rinominare le unità organizzative in qualsiasi momento utilizzando la AWS Organizations console, ma apportare modifiche alle unità organizzative AWS Organizations può causare problemi riparabili.
-
È possibile selezionare i nomi degli account condivisi di Audit e Log Archive, ma non è possibile modificare i nomi dopo la configurazione. (Questa è una selezione una tantum).
Suggerimento
Ricorda che la ridenominazione di un'unità organizzativa AWS Organizations non aggiorna il prodotto fornito corrispondente in Account Factory. Per aggiornare automaticamente il prodotto fornito (ed evitare deviazioni), è necessario eseguire l'operazione dell'unità organizzativa tramite AWS Control Tower, inclusa la creazione, l'eliminazione o la registrazione di un'unità organizzativa.
Seleziona regioni AWS
-
Puoi personalizzare la tua landing zone selezionando AWS regioni specifiche per la governance. Segui i passaggi nella console AWS Control Tower.
-
Puoi selezionare e deselezionare AWS le regioni per la governance quando aggiorni la landing zone.
-
Puoi impostare il controllo Region Deny su Abilitato o Non abilitato e controllare l'accesso degli utenti alla maggior parte dei AWS servizi nelle regioni non AWS governate.
Per informazioni su Regioni AWS dove cFct presenta limitazioni di implementazione, vedere. Limitazioni di controllo
Personalizza aggiungendo controlli opzionali
-
I controlli facoltativi e fortemente consigliati sono facoltativi, il che significa che puoi personalizzare il livello di applicazione per la tua landing zone scegliendo quali abilitare. I controlli opzionali non sono abilitati per impostazione predefinita.
-
I controlli opzionali sulla residenza dei dati consentono di personalizzare le regioni in cui vengono archiviati e consentire l'accesso ai dati.
-
I controlli opzionali che fanno parte dello standard Security Hub integrato consentono di scansionare l'ambiente AWS Control Tower per verificare eventuali rischi per la sicurezza.
-
I controlli proattivi opzionali consentono di controllare le AWS CloudFormation risorse prima che vengano fornite, per assicurarsi che le nuove risorse siano conformi agli obiettivi di controllo dell'ambiente.
Personalizza i tuoi percorsi AWS CloudTrail
-
Quando aggiorni la tua landing zone alla versione 3.0 o successiva, puoi scegliere di attivare o disattivare i CloudTrail percorsi a livello di organizzazione gestiti da AWS Control Tower. Puoi modificare questa selezione ogni volta che aggiorni la tua landing zone. AWS Control Tower crea un percorso a livello di organizzazione nel tuo account di gestione e tale percorso passa allo stato attivo o inattivo, in base alla tua scelta. Landing zone 3.0 non supporta CloudTrail percorsi a livello di account; tuttavia, se ne hai bisogno, puoi configurare e gestire i tuoi percorsi. Potresti incorrere in costi aggiuntivi per percorsi duplicati.
Crea account utente personalizzati nella console
-
Puoi creare account membri AWS Control Tower personalizzati e aggiornare gli account membro esistenti per aggiungere personalizzazioni dalla console AWS Control Tower. Per ulteriori informazioni, consulta Personalizza gli account con Account Factory Customization (AFC).
Automatizza le personalizzazioni all'esterno della console AWS Control Tower
Alcune personalizzazioni non sono disponibili tramite la console AWS Control Tower, ma possono essere implementate in altri modi. Per esempio:
-
È possibile personalizzare gli account durante il provisioning, in un flusso di lavoro in GitOps stile, con Account Factory for Terraform (AFT).
AFT viene distribuito con un modulo Terraform, disponibile nel repository AFT.
-
Puoi personalizzare la tua landing zone di AWS Control Tower con Customizations for AWS Control Tower (cFCT), un pacchetto di funzionalità basato su AWS CloudFormation modelli e policy di controllo dei servizi (SCP). Puoi distribuire modelli e policy personalizzati a singoli account e unità organizzative (OU) all'interno della tua organizzazione.
Il codice sorgente per cFCT è disponibile in un GitHub repository.
Vantaggi delle personalizzazioni per AWS Control Tower (cFCT)
Il pacchetto di funzionalità denominato Customizations for AWS Control Tower (cFCT) ti aiuta a creare personalizzazioni per la tua landing zone più ampie di quelle che puoi creare nella console AWS Control Tower. Offre un processo automatizzato GitOps in stile. Puoi rimodellare la landing zone per soddisfare le tue esigenze aziendali.
Questo processo di infrastructure-as-codepersonalizzazione integra AWS CloudFormation modelli con policy di controllo dei AWS servizi (SCP) ed eventi del ciclo di vita di AWS Control Tower, in modo che le distribuzioni delle risorse rimangano sincronizzate con la landing zone. Ad esempio, quando si crea un nuovo account con Account Factory, le risorse collegate all'account e all'unità organizzativa possono essere distribuite automaticamente.
Nota
A differenza di Account Factory e AFT, cFCT non ha lo scopo specifico di creare nuovi account, ma di personalizzare account e unità organizzative nella landing zone distribuendo risorse specificate dall'utente.
Vantaggi
-
Espandi un AWS ambiente personalizzato e sicuro: puoi espandere il tuo ambiente AWS Control Tower multi-account più rapidamente e incorporare le AWS best practice in un flusso di lavoro di personalizzazione ripetibile.
-
Crea un'istanza dei tuoi requisiti: puoi personalizzare la landing zone di AWS Control Tower in base alle tue esigenze aziendali, con AWS CloudFormation modelli e policy di controllo dei servizi che esprimono le tue intenzioni politiche.
-
Automatizza ulteriormente con gli eventi del ciclo di vita di AWS Control Tower: gli eventi del ciclo di vita consentono di distribuire risorse in base al completamento di una serie precedente di eventi. Puoi fare affidamento su un evento del ciclo di vita per aiutarti a distribuire risorse su account e unità organizzative in modo automatico.
-
Estendi l'architettura di rete: puoi implementare architetture di rete personalizzate che migliorano e proteggono la connettività, come un gateway di transito.
Esempi cFCT aggiuntivi
-
Un esempio di utilizzo del networking con Customizations for AWS Control Tower (cFCT) è fornito nel post del blog AWS Architecture, Deploy consistent DNS with Service Catalog and AWS Control Tower
customizations. -
Un esempio specifico relativo a cFCT e Amazon GuardDuty
è disponibile GitHub nel aws-samplesrepository. -
Ulteriori esempi di codice riguardanti cFCT sono disponibili come parte della AWS Security Reference Architecture, nel repository.
aws-samplesMolti di questi esempi contengono manifest.yamlfile di esempio in una directory denominata.customizations_for_aws_control_tower
Per ulteriori informazioni sulla AWS Security Reference Architecture, consultate le pagine AWS Prescriptive Guidance.
