O AWSControl TowerExecution papel, explicado - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

O AWSControl TowerExecution papel, explicado

O perfil AWSControlTowerExecution deve estar presente em todas as contas inscritas. Ele permite que o AWS Control Tower gerencie suas contas individuais e relate informações sobre elas nas contas de auditoria e de arquivamento de logs.

O perfil AWSControlTowerExecution pode ser adicionado a uma conta de várias maneiras, da seguinte forma:

  • Para contas na UO de segurança (às vezes chamadas de contas principais), o AWS Control Tower cria o perfil no momento da configuração inicial do AWS Control Tower.

  • Para uma conta do Account Factory criada por meio do console do AWS Control Tower, o AWS Control Tower cria esse perfil no momento da criação da conta.

  • Para a inscrição de uma única conta, pedimos aos clientes que criem manualmente o perfil e, depois, inscrevam a conta no AWS Control Tower.

  • Ao estender a governança para uma OU, o AWS Control Tower usa o StackSet- AWSControl TowerExecutionRole para criar a função em todas as contas dessa OU.

Objetivo do perfil AWSControlTowerExecution:

  • O AWSControlTowerExecution permite criar e inscrever contas, automaticamente, com scripts e funções do Lambda.

  • A função AWSControlTowerExecution ajuda você a configurar o registro em log de suas organizações, para que todos os logs de cada conta sejam enviados à conta de registro em log.

  • O AWSControlTowerExecution permite que você inscreva uma conta individual no AWS Control Tower. Primeiro, você deve adicionar o perfil AWSControlTowerExecution a essa conta. Consulte as etapas sobre como adicionar o perfil em Adicionar manualmente o perfil do IAM necessário a uma Conta da AWS existente e inscrevê-la.

Como a AWSControlTowerExecution função funciona com OUs:

O perfil AWSControlTowerExecution garante que os controles selecionados do AWS Control Tower se apliquem automaticamente a cada conta individual, em cada UO, na sua organização, bem como a cada nova conta que você criar no AWS Control Tower. Como resultado:

  • Você pode fornecer relatórios de conformidade e segurança com mais facilidade, com base nos recursos de auditoria e registro em log incorporados pelos controles do AWS Control Tower.

  • Suas equipes de segurança e conformidade podem verificar se todos os requisitos foram atendidos e se houve algum desvio organizacional.

Consulte mais informações sobre desvios em Detect and resolve drift in AWS Control Tower.

Para resumir, a função AWSControlTowerExecution e sua política associada fornecem controle flexível de segurança e conformidade em toda a organização. Portanto, as violações de segurança ou protocolo têm menos probabilidade de ocorrer.