Come funziona AWS Control Tower - AWS Control Tower
Struttura di una zona di atterraggio di AWS Control TowerCosa succede quando configuri una landing zoneCosa sono gli account condivisi?Come funzionano i controlliCome funziona AWS Control Tower con StackSets

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come funziona AWS Control Tower

Questa sezione descrive in modo approfondito come funziona AWS Control Tower. La tua landing zone è un ambiente multi-account ben progettato per tutte le tue risorse. AWS Puoi utilizzare questo ambiente per applicare le normative di conformità su tutti i tuoi account. AWS

Struttura di una zona di atterraggio di AWS Control Tower

La struttura di una landing zone in AWS Control Tower è la seguente:

  • Root: l'elemento principale che contiene tutte le altre unità organizzative presenti nella landing zone.

  • Security OU: questa unità organizzativa contiene gli account Log Archive e Audit. Questi account vengono spesso definiti account condivisi. Quando avvii la tua landing zone, puoi scegliere nomi personalizzati per questi account condivisi e hai la possibilità di trasferire gli AWS account esistenti in AWS Control Tower per motivi di sicurezza e registrazione. Tuttavia, questi non possono essere rinominati in un secondo momento e gli account esistenti non possono essere aggiunti per motivi di sicurezza e registrazione dopo il lancio iniziale.

  • Sandbox OU: l'OU Sandbox viene creata all'avvio della landing zone, se la abiliti. Questa e altre unità organizzative registrate contengono gli account registrati con cui i tuoi utenti lavorano per eseguire i loro carichi di lavoro AWS.

  • Directory IAM Identity Center: questa directory ospita gli utenti di IAM Identity Center. Definisce l'ambito delle autorizzazioni per ogni utente IAM Identity Center.

  • Utenti IAM Identity Center: queste sono le identità che i tuoi utenti possono assumere per eseguire i loro AWS carichi di lavoro nella tua landing zone.

Cosa succede quando configuri una landing zone

Quando configuri una landing zone, AWS Control Tower esegue le seguenti azioni nel tuo account di gestione per tuo conto:

  • Crea due unità AWS Organizations organizzative (OU): Security e Sandbox (opzionale), contenute nella struttura principale dell'organizzazione.

  • Crea o aggiunge due account condivisi nell'unità organizzativa di sicurezza: l'account Log Archive e l'account Audit.

  • Crea una directory nativa per il cloud in IAM Identity Center, con gruppi preconfigurati e accesso Single Sign-On, se scegli la configurazione AWS Control Tower predefinita o ti consente di gestire autonomamente il tuo provider di identità.

  • Applica tutti i controlli preventivi obbligatori per far rispettare le politiche.

  • Applica tutti i controlli obbligatori e investigativi per rilevare le violazioni della configurazione.

  • I controlli preventivi non vengono applicati all'account di gestione.

  • Ad eccezione dell'account di gestione, i controlli vengono applicati all'intera organizzazione.

Gestione sicura delle risorse all'interno della zona di destinazione e degli account AWS Control Tower

  • Quando crei la landing zone, vengono create diverse AWS risorse. Per utilizzare AWS Control Tower, non devi modificare o eliminare queste risorse gestite da AWS Control Tower al di fuori dei metodi supportati descritti in questa guida. L'eliminazione o la modifica di queste risorse farà sì che la tua landing zone entri in uno stato sconosciuto. Per maggiori dettagli, consulta Linee guida per la creazione e la modifica delle risorse AWS Control Tower.

  • Quando abiliti i controlli opzionali (quelli con linee guida fortemente consigliate o facoltative), AWS Control Tower crea AWS risorse che gestisce nei tuoi account. Non modificare o eliminare risorse create da AWS Control Tower. Ciò può far sì che i controlli entrino in uno stato sconosciuto.

Cosa sono gli account condivisi?

In AWS Control Tower, gli account condivisi nella landing zone vengono forniti durante la configurazione: l'account di gestione, l'account di archiviazione dei log e l'account di audit.

Cos'è l'account di gestione?

Questo è l'account che hai creato appositamente per la tua landing zone. Questo account viene utilizzato per la fatturazione di tutto ciò che si trova nella tua landing zone. Viene anche utilizzato per la fornitura di account da parte di Account Factory, nonché per gestire le unità organizzative e i controlli.

Nota

Non è consigliabile eseguire alcun tipo di carico di lavoro di produzione da un account di gestione AWS Control Tower. Crea un account AWS Control Tower separato per eseguire i tuoi carichi di lavoro.

Per ulteriori informazioni, consulta Gestione dell'account.

Cos'è l'account di archiviazione dei log?

Questo account funge da archivio per i registri delle attività delle API e delle configurazioni delle risorse di tutti gli account nella landing zone.

Per ulteriori informazioni, consulta Account di archivio dei log.

Cos'è l'account di controllo?

L'account di controllo è un account con restrizioni progettato per consentire ai team di sicurezza e conformità l'accesso in lettura e scrittura a tutti gli account nella landing zone. L'account di audit fornisce l'accesso programmatico per la revisione degli account mediante un ruolo concesso solo alle funzioni Lambda. L'account di audit non consente di accedere manualmente ad altri account. Per ulteriori informazioni sulle funzioni e i ruoli Lambda, consulta Configurare una funzione Lambda per assumere un ruolo da un'altra. Account AWS

Per ulteriori informazioni, consulta Account di audit.

Come funzionano i controlli

Il controllo è una regola di alto livello che fornisce una governance continua per l'intero AWS ambiente. Ogni controllo applica una singola regola ed è espressa in un linguaggio semplice. Puoi modificare i controlli opzionali o fortemente consigliati in vigore, in qualsiasi momento, dalla console AWS Control Tower o dalle API AWS Control Tower. I controlli obbligatori vengono sempre applicati e non possono essere modificati.

I controlli preventivi impediscono il verificarsi di azioni. Ad esempio, il controllo elettivo denominato Disallow Changes to Bucket Policy per Amazon S3 Buckets (precedentemente chiamato Disallow Policy Changes to Log Archive) impedisce qualsiasi modifica alla policy IAM all'interno dell'account condiviso dell'archivio di log. Qualsiasi tentativo di eseguire un'azione impedita viene negato e registrato. CloudTrail Anche la risorsa è connessa. AWS Config

I controlli Detective rilevano eventi specifici quando si verificano e registrano l'azioneCloudTrail. Ad esempio, il controllo fortemente consigliato chiamato Detect Whether Encryption is Enabled for Amazon EBS Volumes Attached to Amazon EC2 Instances rileva se un volume Amazon EBS non crittografato è collegato a un'istanza EC2 nella tua landing zone.

I controlli proattivi verificano se le risorse sono conformi alle politiche e agli obiettivi aziendali, prima che le risorse vengano assegnate ai vostri account. Se le risorse non sono conformi, non vengono fornite. I controlli proattivi monitorano le risorse che verrebbero distribuite nei tuoi account tramite modelli. AWS CloudFormation

Per chi conosce AWS: In AWS Control Tower i controlli preventivi sono implementati con Service Control Policies (SCP). I controlli investigativi sono implementati con AWS Config regole. I controlli proattivi sono implementati con AWS CloudFormation ganci.

Come funziona AWS Control Tower con StackSets

AWS Control Tower utilizza AWS CloudFormation StackSets per configurare le risorse nei tuoi account. Ogni set di stack StackInstances corrisponde a un account e uno Regioni AWS per account. AWS Control Tower distribuisce un'istanza di stack set per account e regione.

AWS Control Tower applica gli aggiornamenti a determinati account e Regioni AWS in modo selettivo, in base a AWS CloudFormation parametri. Quando gli aggiornamenti vengono applicati ad alcune istanze dello stack, altre istanze dello stack potrebbero essere lasciate in stato Outdated (Obsoleto). Questo comportamento è previsto e normale.

Quando un'istanza dello stack entra nello stato Outdated (Obsoleto) in genere significa che lo stack corrispondente a quell'istanza non è allineato con il modello più recente nel set di stack. Lo stack rimane nel modello precedente, quindi potrebbe non includere le risorse o i parametri più recenti. Lo stack è comunque completamente utilizzabile.

Ecco un breve riepilogo del comportamento da aspettarsi, in base ai AWS CloudFormation parametri specificati durante un aggiornamento:

Se l'aggiornamento del set di stack include modifiche al modello (ovvero, se sono specificate TemplateURL le proprietà TemplateBody o) o se la Parameters proprietà è specificata, AWS CloudFormation contrassegna tutte le istanze dello stack con lo stato Obsoleto prima di aggiornare le istanze dello stack negli account specificati e. Regioni AWS Se l'aggiornamento del set di stack non include modifiche al modello o ai parametri, AWS CloudFormation aggiorna le istanze dello stack negli account e nelle regioni specificati, lasciando a tutte le altre istanze dello stack lo stato di istanza dello stack esistente. Per aggiornare tutte le istanze dello stack associate a un set di stack, non specificare le proprietà Regions o Accounts.

Per ulteriori informazioni, consulta Update Your Stack Set nella Guida per l'utente. AWS CloudFormation