Terminologia

Per ulteriori informazioni sulle organizzazioni e OUs, consulta la AWS Organizations terminologia e i concetti. Se non conosci AWS Control Tower, questa terminologia è un buon punto di partenza.

 AWS Organizationsè un AWS servizio che ti aiuta a governare centralmente il tuo ambiente man mano che cresci e su cui scalare i carichi di lavoro. AWS AWS Control Tower si affida AWS Organizations alla creazione di account, all'applicazione di controlli preventivi a livello di unità organizzative e alla fatturazione centralizzata.

Un AWS account Account Factory è un AWS account fornito utilizzando Account Factory in AWS Control Tower. A volte, Account Factory viene definita informalmente come un «distributore automatico» per gli account.

La tua regione principale di AWS Control Tower è la AWS regione in cui è stata distribuita la tua landing zone di AWS Control Tower. Puoi visualizzare la tua regione d'origine nelle impostazioni della landing zone.

AWS Service Catalogconsente di gestire centralmente i servizi IT più diffusi. Nel contesto di questo documento, Account Factory utilizza AWS Service Catalog per fornire nuovi AWS account, inclusi gli account provenienti da progetti personalizzati.

AWS CloudFormation StackSetssono un tipo di risorsa che estende la funzionalità degli stack in modo da poter creare, aggiornare o eliminare gli stack su più account e regioni con un'unica operazione e un unico modello. CloudFormation

Un'istanza stack è un riferimento a uno stack in un account di destinazione all'interno di una regione.

Uno stack è una raccolta di AWS risorse che puoi gestire come singola unità.

Un aggregatore è un tipo di AWS Config risorsa che raccoglie i dati di AWS Config configurazione e conformità da più account e regioni all'interno dell'organizzazione, consentendoti di visualizzare e interrogare questi dati di conformità all'interno di un singolo account.

Un pacchetto di conformità è una raccolta di AWS Config regole e azioni correttive che possono essere implementate come singola entità in un account e in una regione o all'interno di un'organizzazione in. AWS Organizations Puoi utilizzare un pacchetto di conformità per personalizzare il tuo ambiente AWS Control Tower. Per i blog tecnici che forniscono maggiori dettagli, consulta Informazioni correlate.

Una linea di base in AWS Control Tower è un gruppo di risorse e configurazioni specifiche che puoi applicare a un target. L'obiettivo di base più comune può essere un'unità organizzativa (OU). Ad esempio, la linea di base chiamata AWSControlTowerBaseline è disponibile per aiutarti a registrarti OUs con AWS Control Tower. Durante la configurazione e l'aggiornamento della landing zone, l'obiettivo di base può essere un account condiviso o un'impostazione specifica per la landing zone nel suo insieme.

Blueprint: un blueprint è un artefatto che incapsula alcuni metadati e descrive i componenti dell'infrastruttura che vengono distribuiti all'interno di un account. Ad esempio, un AWS CloudFormation modello può fungere da modello per un account AWS Control Tower.

Drift: modifica di una risorsa installata e configurata da AWS Control Tower. Le risorse senza deriva consentono ad AWS Control Tower di funzionare correttamente.

Risorsa non conforme: una risorsa che viola una AWS Config regola che definisce un particolare controllo investigativo.

Account condiviso: uno dei tre account che AWS Control Tower crea automaticamente quando configuri la landing zone: l'account di gestione, l'account di archiviazione dei log e l'account di audit. Puoi scegliere nomi personalizzati per l'account di archiviazione dei log e l'account di controllo durante la configurazione.

Account membro: un account membro appartiene all'organizzazione AWS Control Tower. L'account membro può essere registrato o annullato in AWS Control Tower. Quando un'unità organizzativa registrata contiene una combinazione di account registrati e non registrati:

Un account può essere membro di una sola organizzazione alla volta e i relativi addebiti vengono fatturati sull'account di gestione di tale organizzazione. Un account membro può essere spostato nel contenitore principale di un'organizzazione.

AWS account: un AWS account funge da contenitore di risorse e limite di isolamento delle risorse. Un AWS account può essere associato alla fatturazione e al pagamento. Un AWS account è diverso da un account utente (a volte chiamato account utente IAM) in AWS Control Tower. Gli account creati tramite il processo di provisioning di Account Factory sono AWS account. AWS gli account possono anche essere aggiunti ad AWS Control Tower tramite la procedura di registrazione dell'account o dell'unità organizzativa.

Controllo: un controllo (noto anche come guardrail) è una regola di alto livello che fornisce una governance continua per l'intero ambiente AWS Control Tower. Ogni controllo applica una singola regola. I controlli preventivi vengono implementati con SCPs. I controlli investigativi sono implementati con AWS Config delle regole. I controlli proattivi sono implementati con AWS CloudFormation ganci. Per ulteriori informazioni, consulta Come funzionano i controlli.

Zona di atterraggio: una landing zone è un ambiente cloud che offre un punto di partenza consigliato, inclusi account predefiniti, struttura degli account, layout di rete e sicurezza e così via. Da una landing zone, puoi distribuire carichi di lavoro che utilizzano le tue soluzioni e applicazioni.

Unità organizzativa annidata: un'unità organizzativa nidificata in AWS Control Tower è un'unità organizzativa contenuta all'interno di un'altra unità organizzativa. Un'unità organizzativa annidata può avere esattamente un'unità organizzativa principale e ogni account può essere membro di esattamente un'unità organizzativa. Annidato: OUs crea una gerarchia. Quando si associa una politica a uno degli elementi della OUs gerarchia, questa viene spostata verso il basso e ha effetto su tutti gli account OUs sottostanti. Una gerarchia di unità organizzative annidate in AWS Control Tower può avere una profondità massima di cinque livelli.

Unità organizzativa principale: l'unità organizzativa immediatamente superiore all'unità organizzativa corrente nella gerarchia. Ogni unità organizzativa può avere esattamente un'unità organizzativa principale.

Unità organizzativa secondaria: qualsiasi unità organizzativa inferiore all'unità organizzativa corrente nella gerarchia. Un'unità organizzativa può avere molti figli OUs.

Gerarchia delle unità organizzative: in AWS Control Tower, la gerarchia di nested OUs può avere fino a cinque livelli. L'ordine di nidificazione è denominato Livelli. La parte superiore della gerarchia è designata come Livello 1.

Unità organizzativa di primo livello: un'unità organizzativa di primo livello è qualsiasi unità organizzativa che si trova direttamente sotto la radice, non la radice stessa. La radice non è considerata un'unità organizzativa.

Governata: una regione governata è gestita e controllata nel tuo ambiente da AWS Control Tower, in base alle politiche di governance stabilite dall'organizzazione. Queste Regioni AWS vengono monitorate per aderire alle migliori pratiche e alle politiche organizzative. Le tue risorse in queste regioni sono protette quando abiliti i controlli AWS Control Tower.

Non governata: le regioni che mostrano lo stato Non governato non sono controllate o monitorate da AWS Control Tower. Di Regioni AWS solito non rispettano le stesse politiche di governance applicate da AWS Control Tower. Puoi creare risorse in queste regioni, ma tali risorse non sono protette dai controlli di AWS Control Tower.

Negata: una regione negata viene bloccata specificamente da AWS Control Tower. All'interno del tuo ambiente AWS Control Tower, non puoi effettuare il provisioning di risorse in questi ambienti Regioni AWS.