Personalize a partir do console do AWS Control Tower Automatize personalizações fora do console do AWS Control Tower Benefícios das personalizações para o AWS Control Tower (cFct)Exemplos adicionais de CFCT

Personalize sua zona de pouso do AWS Control Tower

Certos aspectos da sua zona de pouso do AWS Control Tower são configuráveis no console, como seleção de regiões e controles opcionais. Outras alterações podem ser feitas fora do console, com automação.

Por exemplo, você pode criar personalizações mais abrangentes da sua landing zone com o recurso Customizations for AWS Control Tower, uma estrutura de personalização no GitOps estilo que funciona com modelos e eventos do ciclo de vida do AWS AWS CloudFormation Control Tower.

Personalize a partir do console do AWS Control Tower

Para fazer essas personalizações na sua landing zone, siga as etapas fornecidas pelo console do AWS Control Tower.

Selecione nomes personalizados durante a configuração

Você pode selecionar seus nomes de OU de nível superior durante a configuração. Você pode renomear suas OUs a qualquer momento usando o AWS Organizations console, mas fazer alterações em suas OUs AWS Organizations pode causar desvios reparáveis.
Você pode selecionar os nomes das suas contas compartilhadas de Auditoria e Arquivo de Registros, mas não pode alterar os nomes após a configuração. (Essa é uma seleção única.)

Dica

Lembre-se de que renomear uma OU em AWS Organizations não atualiza o produto provisionado correspondente no Account Factory. Para atualizar o produto provisionado automaticamente (e evitar desvios), você deve realizar a operação de OU por meio do AWS Control Tower, incluindo criar, excluir ou registrar novamente uma OU.

Selecionar AWS regiões

Você pode personalizar sua landing zone selecionando AWS regiões específicas para governança. Siga as etapas no console do AWS Control Tower.
Você pode selecionar e desmarcar AWS regiões para governança ao atualizar sua landing zone.
Você pode definir o controle de negação de região como Ativado ou Não ativado e controlar o acesso do usuário à maioria dos AWS serviços em regiões não governadas AWS .

Para obter informações sobre Regiões da AWS onde o cFct tem limitações de implantação, consulteLimitações de controle.

Personalize adicionando controles opcionais

Os controles eletivos e altamente recomendados são opcionais, o que significa que você pode personalizar o nível de fiscalização da sua landing zone escolhendo quais ativar. Os controles opcionais não estão habilitados por padrão.
Os controles opcionais de residência de dados permitem que você personalize as regiões nas quais você armazena e permita o acesso aos seus dados.
Os controles opcionais que fazem parte do padrão integrado do Security Hub permitem que você escaneie seu ambiente do AWS Control Tower para verificar os riscos de segurança.
Os controles proativos opcionais permitem que você verifique seus AWS CloudFormation recursos antes de serem provisionados, para garantir que os novos recursos estejam em conformidade com os objetivos de controle do seu ambiente.

Personalize suas AWS CloudTrail trilhas

Ao atualizar sua landing zone para a versão 3.0 ou posterior, você pode optar por participar ou não das CloudTrail trilhas em nível organizacional gerenciadas pelo AWS Control Tower. Você pode alterar essa seleção sempre que atualizar sua landing zone. O AWS Control Tower cria uma trilha em nível organizacional em sua conta de gerenciamento, e essa trilha entra no status ativo ou inativo, com base na sua escolha. A Landing zone 3.0 não suporta CloudTrail trilhas em nível de conta; no entanto, se você precisar delas, poderá configurar e gerenciar suas próprias trilhas. Você pode incorrer em custos adicionais por trilhas duplicadas.

Crie contas de membros personalizadas no console

Você pode criar contas de membros do AWS Control Tower que são personalizadas e você pode atualizar contas de membros existentes para adicionar personalizações, a partir do console do AWS Control Tower. Para ter mais informações, consulte Personalize contas com Account Factory Customization (AFC).

Automatize personalizações fora do console do AWS Control Tower

Algumas personalizações não estão disponíveis por meio do console do AWS Control Tower, mas podem ser implementadas de outras formas. Por exemplo: .

Você pode personalizar contas durante o provisionamento, em um fluxo de trabalho no GitOps estilo -S, com o Account Factory for Terraform (AFT).

O AFT é implantado com um módulo Terraform, disponível no repositório AFT.
Você pode personalizar sua zona de pouso da AWS Control Tower com personalizações para a AWS Control Tower (cFct), um pacote de funcionalidades criado com base em AWS CloudFormation modelos e políticas de controle de serviços (SCPs). Você pode implantar os modelos e políticas personalizados em contas individuais e unidades organizacionais (OUs) em sua organização.

O código-fonte do cFct está disponível em um GitHub repositório.

Benefícios das personalizações para o AWS Control Tower (cFct)

O pacote de funcionalidades que chamamos de Customizations for AWS Control Tower (cFct) ajuda você a criar personalizações mais abrangentes para sua landing zone do que você pode criar no console do AWS Control Tower. Ele oferece um processo GitOps automatizado no estilo. Você pode remodelar sua landing zone para atender às suas necessidades comerciais.

Esse processo de infrastructure-as-codepersonalização integra AWS CloudFormation modelos com políticas de controle de AWS serviços (SCPs) e eventos do ciclo de vida do AWS Control Tower, para que suas implantações de recursos permaneçam sincronizadas com sua landing zone. Por exemplo, quando você cria uma nova conta com o Account Factory, os recursos vinculados à conta e à OU podem ser implantados automaticamente.

nota

Ao contrário do Account Factory e do AFT, o cFct não se destina especificamente a criar novas contas, mas a personalizar contas e OUs em sua landing zone, implantando recursos que você especificar.

Benefícios

Expanda um AWS ambiente personalizado e seguro — Você pode expandir seu ambiente de várias contas do AWS Control Tower mais rapidamente e incorporar as AWS melhores práticas em um fluxo de trabalho de personalização repetível.
Instancie seus requisitos — Você pode personalizar sua zona de pouso do AWS Control Tower de acordo com seus requisitos de negócios, com AWS CloudFormation modelos e políticas de controle de serviços que expressam suas intenções políticas.
Automatize ainda mais com os eventos de ciclo de vida do AWS Control Tower — os eventos de ciclo de vida permitem que você implante recursos com base na conclusão de uma série anterior de eventos. Você pode contar com um evento de ciclo de vida para ajudá-lo a implantar recursos em contas e OUs automaticamente.
Estenda sua arquitetura de rede — Você pode implantar arquiteturas de rede personalizadas que melhoram e protegem sua conectividade, como um gateway de trânsito.

Exemplos adicionais de CFCT

Um exemplo de caso de uso de rede com Customizations for AWS Control Tower (cFCT) é apresentado na postagem do blog AWS Architecture, Deploy consistent DNS with Service Catalog and AWS Control Tower customizations.
Um exemplo específico relacionado ao cFct e à Amazon GuardDuty está disponível GitHub no aws-samplesrepositório.
Exemplos de código adicionais relacionados ao cFCT estão disponíveis como parte da Arquitetura de Referência de AWS Segurança, no aws-samplesrepositório. Muitos desses exemplos contêm manifest.yaml arquivos de amostra em um diretório chamadocustomizations_for_aws_control_tower.

Para obter mais informações sobre a arquitetura AWS de referência de segurança, consulte as páginas de orientação AWS prescritiva.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AWS CloudFormation recursos

Visão geral das personalizações do AWS Control Tower (cFct)