Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Distribuisci e gestisci i controlli di AWS Control Tower utilizzando Terraform
Creato da Iker Reina Fuente (AWS) e Ivan Girardi (AWS)
Repository di codice: distribuisci e gestisci i controlli di AWS Control Tower utilizzando Terraform | Ambiente: produzione | Tecnologie: sicurezza, identità, conformità CloudNative; infrastruttura; gestione e governance |
Carico di lavoro: open source | Servizi AWS: AWS Control Tower; AWS Organizations |
Riepilogo
Questo modello descrive come utilizzare i controlli di AWS Control Tower, HashiCorp Terraform e l'infrastruttura come codice (IaC) per implementare e amministrare controlli di sicurezza preventivi, investigativi e proattivi. Un controllo (noto anche come guardrail) è una regola di alto livello che fornisce una governance continua per l'intero ambiente AWS Control Tower. Ad esempio, puoi utilizzare i controlli per richiedere la registrazione per i tuoi account AWS e quindi configurare notifiche automatiche se si verificano eventi specifici relativi alla sicurezza.
AWS Control Tower ti aiuta a implementare controlli preventivi, investigativi e proattivi che governano le tue risorse AWS e monitorano la conformità su più account AWS. Ogni controllo applica una singola regola. In questo modello, si utilizza un modello IaC fornito per specificare quali controlli si desidera implementare nel proprio ambiente.
I controlli di AWS Control Tower si applicano a un'intera unità organizzativa (OU) e il controllo influisce su ogni account AWS all'interno dell'unità organizzativa. Pertanto, quando gli utenti eseguono un'azione in qualsiasi account nella tua landing zone, l'azione è soggetta ai controlli che regolano l'unità organizzativa.
L'implementazione dei controlli AWS Control Tower aiuta a stabilire una solida base di sicurezza per la tua landing zone AWS. Utilizzando questo modello per implementare i controlli come IAc tramite Terraform, puoi standardizzare i controlli nella tua landing zone e distribuirli e gestirli in modo più efficiente.
Per distribuire i controlli AWS Control Tower come IaC, puoi anche utilizzare AWS Cloud Development Kit (AWS CDK) anziché Terraform. Per ulteriori informazioni, consulta Distribuire e gestire i controlli AWS Control Tower utilizzando AWS CDK e AWS. CloudFormation
Destinatari
Questo modello è consigliato agli utenti che hanno esperienza con AWS Control Tower, Terraform e AWS Organizations.
Prerequisiti e limitazioni
Prerequisiti
Account AWS attivi gestiti come organizzazione in AWS Organizations e in una landing zone AWS Control Tower. Per istruzioni, consulta Creare una struttura di account
(AWS Well-Architected Labs). AWS Command Line Interface (AWS CLI), installata e configurata.
Un ruolo AWS Identity and Access Management (IAM) nell'account di gestione che dispone delle autorizzazioni per implementare questo modello. Per ulteriori informazioni sulle autorizzazioni richieste e una policy di esempio, consulta Least Privilege permissions for the IAM role nella sezione Informazioni aggiuntive di questo modello.
Autorizzazioni per assumere il ruolo IAM nell'account di gestione.
Applica il controllo basato sulla policy di controllo del servizio (SCP) con l'identificatore CT.CLOUDFORMATION.PR.1. Questo SCP deve essere attivato per implementare controlli proattivi. Per istruzioni, consulta Impedire la gestione di tipi di risorse, moduli e hook all'interno del registro CloudFormation AWS.
Terraform CLI,
installata (documentazione Terraform). Terraform AWS Provider, configurato
(documentazione Terraform). Backend Terraform, configurato
(documentazione Terraform).
Versioni del prodotto
AWS Control Tower versione 3.0 o successiva
Terraform versione 1.5 o successiva
Terraform AWS Provider versione 4.67 o successiva
Architettura
Architettura Target
Questa sezione fornisce una panoramica di alto livello di questa soluzione e dell'architettura stabilita dal codice di esempio. Il diagramma seguente mostra i controlli distribuiti tra i vari account dell'unità organizzativa.
I controlli di AWS Control Tower sono classificati in base al loro comportamento e alle loro linee guida.
Esistono tre tipi principali di comportamenti di controllo:
I controlli preventivi sono progettati per impedire il verificarsi di azioni. Questi sono implementati con policy di controllo dei servizi (SCP) in AWS Organizations. Lo stato di un controllo preventivo è imposto o non abilitato. I controlli preventivi sono supportati in tutte le regioni AWS.
I controlli Detective sono progettati per rilevare eventi specifici quando si verificano e registrare l'azione CloudTrail. Questi sono implementati con le regole di AWS Config. Lo status di un controllo investigativo è chiaro, in violazione o non abilitato. I controlli Detective si applicano solo nelle regioni AWS supportate da AWS Control Tower.
I controlli proattivi analizzano le risorse che verrebbero fornite da AWS CloudFormation e verificano se sono conformi alle politiche e agli obiettivi aziendali. Le risorse non conformi non verranno fornite. Questi sono implementati con gli CloudFormation hook AWS. Lo stato di un controllo proattivo è PASS, FAIL o SKIP.
La guida al controllo è la pratica consigliata per applicare ogni controllo alle unità organizzative. AWS Control Tower fornisce tre categorie di linee guida: obbligatorie, fortemente consigliate e facoltative. La guida di un controllo è indipendente dal suo comportamento. Per ulteriori informazioni, consulta Comportamento e guida al controllo.
Strumenti
Servizi AWS
AWS ti CloudFormation aiuta a configurare le risorse AWS, effettuarne il provisioning in modo rapido e coerente e gestirle durante tutto il loro ciclo di vita su account e regioni AWS.
AWS Config fornisce una visione dettagliata delle risorse nel tuo account AWS e di come sono configurate. Ti aiuta a identificare in che modo le risorse sono correlate tra loro e come le loro configurazioni sono cambiate nel tempo.
AWS Control Tower ti aiuta a configurare e gestire un ambiente AWS multi-account, seguendo le best practice prescrittive.
AWS Organizations è un servizio di gestione degli account che ti aiuta a consolidare più account AWS in un'organizzazione da creare e gestire centralmente.
Altri strumenti
HashiCorp Terraform
è uno strumento open source di infrastruttura come codice (IaC) che ti aiuta a utilizzare il codice per fornire e gestire l'infrastruttura e le risorse cloud.
Archivio di codici
Il codice per questo modello è disponibile nei controlli GitHub Deploy and manage AWS Control Tower utilizzando il repository Terraform
Best practice
Il ruolo IAM utilizzato per implementare questa soluzione deve rispettare il principio del privilegio minimo (documentazione IAM).
Segui le best practice per gli amministratori di AWS Control Tower (documentazione AWS Control Tower).
Epiche
Attività | Descrizione | Competenze richieste |
---|---|---|
Clonare il repository. | In una shell bash, inserisci il seguente comando. Questo clona i controlli Deploy and manage AWS Control Tower utilizzando il repository Terraform di
| DevOps ingegnere |
Modifica il file di configurazione del backend Terraform. |
| DevOps ingegnere, Terraform |
Modifica il file di configurazione del provider Terraform. |
| DevOps ingegnere, Terraform |
Modifica il file di configurazione. |
| DevOps ingegnere, General AWS, Terraform |
Assumi il ruolo IAM nell'account di gestione. | Nell'account di gestione, assumi il ruolo IAM che dispone delle autorizzazioni per distribuire il file di configurazione Terraform. Per ulteriori informazioni sulle autorizzazioni richieste e una politica di esempio, consulta le autorizzazioni con privilegi minimi per il ruolo IAM nella sezione Informazioni aggiuntive. Per ulteriori informazioni sull'assunzione di un ruolo IAM nella CLI di AWS, consulta Utilizzare un ruolo IAM nell'interfaccia a riga di comando di AWS. | DevOps ingegnere, General AWS |
Implementa il file di configurazione. |
| DevOps ingegnere, General AWS, Terraform |
Attività | Descrizione | Competenze richieste |
---|---|---|
Esegui il comando destroy. | Immettere il seguente comando per rimuovere le risorse distribuite da questo modello.
| DevOps ingegnere, General AWS, Terraform |
Risoluzione dei problemi
Problema | Soluzione |
---|---|
Errore | Il controllo che stai cercando di abilitare è già abilitato nell'unità organizzativa di destinazione. Questo errore può verificarsi se un utente ha abilitato manualmente il controllo tramite la Console di gestione AWS, tramite AWS Control Tower o tramite AWS Organizations. Per distribuire il file di configurazione Terraform, puoi utilizzare una delle seguenti opzioni. Opzione 1: aggiorna il file dello stato corrente di Terraform È possibile importare la risorsa nel file dello stato corrente di Terraform. Quando riesegui il
Opzione 2: disabilita il controllo Se lavori in un ambiente non di produzione, puoi disabilitare il controllo nella console. Riattivalo ripetendo i passaggi in Deploy the configuration nella sezione Epics. Questo approccio non è consigliato per gli ambienti di produzione perché c'è un periodo di tempo in cui il controllo sarà disabilitato. Se desideri utilizzare questa opzione in un ambiente di produzione, puoi implementare controlli temporanei, come l'applicazione temporanea di un SCP in AWS Organizations. |
Risorse correlate
Documentazione AWS
Informazioni sui controlli (documentazione AWS Control Tower)
Libreria Controls (documentazione AWS Control Tower)
Altre risorse
Informazioni aggiuntive
Esempio di file variables.tfvars
Di seguito è riportato un esempio di file variables.tfvars aggiornato.
controls = [ { control_names = [ "AWS-GR_ENCRYPTED_VOLUMES", ... ], organizational_unit_ids = ["ou-1111-11111111", "ou-2222-22222222"...], }, { control_names = [ "AWS-GR_SUBNET_AUTO_ASSIGN_PUBLIC_IP_DISABLED", ... ], organizational_unit_ids = ["ou-1111-11111111"...], }, ]
Autorizzazioni con privilegi minimi per il ruolo IAM
Questo modello APG richiede l'assunzione di un ruolo IAM nell'account di gestione. La migliore pratica consiste nell'assumere un ruolo con autorizzazioni temporanee e limitare le autorizzazioni in base al principio del privilegio minimo. La seguente policy di esempio consente le azioni minime richieste per abilitare o disabilitare i controlli AWS Control Tower.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "controltower:EnableControl", "controltower:DisableControl", "controltower:GetControlOperation", "controltower:ListEnabledControls", "organizations:AttachPolicy", "organizations:CreatePolicy", "organizations:DeletePolicy", "organizations:DescribeOrganization", "organizations:DetachPolicy", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren", "organizations:ListOrganizationalUnitsForParent", "organizations:ListParents", "organizations:ListPoliciesForTarget", "organizations:ListRoots", "organizations:UpdatePolicy" ], "Resource": "*" } ] }