Personalizar a zona de pouso do AWS Control Tower
Certos aspectos da zona de pouso do AWS Control Tower são configuráveis no console, como seleção de regiões e controles opcionais. Outras alterações podem ser feitas fora do console, com automação.
Por exemplo, você pode criar personalizações mais abrangentes da zona de pouso com o recurso Customizations for AWS Control Tower, um framework de personalização no estilo GitOps que funciona com modelos do AWS CloudFormation e eventos do ciclo de vida do AWS Control Tower.
Personalizar pelo console do AWS Control Tower
Para fazer essas personalizações na zona de pouso, siga as etapas fornecidas pelo console do AWS Control Tower.
Selecionar nomes personalizados durante a configuração
-
Você pode selecionar seus nomes de UO de nível superior durante a configuração. Você pode renomear as UOs a qualquer momento usando o console do AWS Organizations, mas fazer alterações nas UOs no AWS Organizations pode causar desvios reparáveis.
-
Você pode selecionar os nomes das suas contas compartilhadas de Auditoria e Arquivamento de logs, mas não pode alterar os nomes após a configuração. (Essa é uma seleção única.)
Dica
Lembre-se de que renomear uma UO no AWS Organizations não atualiza o produto provisionado correspondente no Account Factory. Para atualizar o produto provisionado automaticamente (e evitar desvios), você deve realizar a operação de UO por meio do AWS Control Tower, incluindo criar, excluir ou registrar novamente uma UO.
Selecionar regiões da AWS
-
Você pode personalizar a zona de pouso selecionando regiões da AWS específicas para governança. Siga as etapas no console do AWS Control Tower.
-
Você pode selecionar e desmarcar regiões da AWS para governança ao atualizar a zona de pouso.
-
É possível definir o controle de negação de região como Habilitado ou Não habilitado e controlar o acesso do usuário à maioria dos serviços da AWS em regiões da AWS não administradas.
Consulte informações sobre Regiões da AWS onde o CfCT tem limitações de implantação, em Limitações de controle.
Personalizar adicionando controles opcionais
-
Os controles altamente recomendáveis e eletivos são opcionais, o que significa que é possível personalizar o nível de imposição para a zona de pouso escolhendo quais habilitar. Os controles opcionais não são habilitados por padrão.
-
Os controles de residência de dados opcionais permitem que você personalize as regiões nas quais você armazena e permite o acesso aos seus dados.
-
Os controles opcionais que fazem parte do padrão integrado do Security Hub permitem verificar seu ambiente do AWS Control Tower em busca de riscos de segurança.
-
Os controles proativos opcionais permitem verificar seus recursos do AWS CloudFormation antes de serem provisionados, para garantir que os novos recursos estejam em conformidade com os objetivos de controle do seu ambiente.
Personalizar trilhas do AWS CloudTrail
-
Ao atualizar a zona de pouso para a versão 3.0 ou posterior, você pode optar por acionar ou não as trilhas do CloudTrail no nível da organização gerenciadas pelo AWS Control Tower. Você pode alterar essa seleção sempre que atualizar a zona de pouso. O AWS Control Tower cria uma trilha no nível da organização em sua conta de gerenciamento, e essa trilha entra no status ativo ou inativo, com base na sua escolha. A zona de pouso 3.0 não permite trilhas do CloudTrail no nível da conta. No entanto, se você precisar delas, poderá configurar e gerenciar suas próprias trilhas. Você pode incorrer em custos adicionais por trilhas duplicadas.
Criar contas-membros personalizadas no console
-
Você pode criar contas-membros do AWS Control Tower que são personalizadas e pode atualizar contas-membros existentes para adicionar personalizações, pelo AWS Control Tower. Consulte mais informações em Personalizar contas com Account Factory Customization (AFC).
Automatizar personalizações fora do console do AWS Control Tower
Algumas personalizações não estão disponíveis por meio do console do AWS Control Tower, mas podem ser implementadas de outras formas. Por exemplo:
-
Você pode personalizar contas durante o provisionamento, em um fluxo de trabalho no estilo GitOps, com o Account Factory for Terraform (AFT).
O AFT é implantado com um módulo do Terraform, disponível no repositório do AFT
. -
Você pode personalizar a zona de pouso do AWS Control Tower com o Customizations for AWS Control Tower (CfCT), um pacote de funcionalidades criado com base em modelos do AWS CloudFormation e políticas de controle de serviços (SCPs). É possível implantar os modelos personalizados e as políticas em contas individuais e unidades organizacionais (UOs) dentro da organização.
O código-fonte do CfCT está em um repositório do GitHub
. -
Você pode personalizar a zona de pouso do AWS Control Tower com o Landing Zone Accelerator (LZA) na AWS. A solução LZA foi projetada para se alinhar às práticas recomendadas da AWS e estar em conformidade com vários frameworks globais de conformidade. Recomendamos que você implante o AWS Control Tower como a zona de pouso fundamental e, depois, aprimore os recursos da zona de pouso com o LZA, conforme necessário. Consulte mais informações em AWS Control Tower and Landing zone accelerator.
Benefícios do Customizations for AWS Control Tower (CfCT)
O pacote de funcionalidades que chamamos de Customizations for AWS Control Tower (CfCT) ajuda a criar personalizações mais abrangentes para a zona de pouso do que você pode criar no console do AWS Control Tower. Ele oferece um processo automatizado no estilo GitOps. Você pode remodelar a zona de pouso para atender às suas necessidades empresariais.
Esse processo de personalização da infraestrutura como código integra modelos do AWS CloudFormation com políticas de controle de serviços (SCPs) da AWS e eventos do ciclo de vida do AWS Control Tower, para que suas implantações de recursos permaneçam sincronizadas com a zona de pouso. Por exemplo, ao criar uma conta com o Account Factory, os recursos anexados à conta e à UO podem ser implantados automaticamente.
nota
Ao contrário do Account Factory e do AFT, o CfCT não se destina especificamente a criar contas, mas a personalizar contas e UOs na zona de pouso, implantando recursos que você especificar.
Benefícios
-
Expanda um ambiente da AWS personalizado e seguro: você pode expandir seu ambiente de várias contas do AWS Control Tower mais rapidamente e incorporar as práticas recomendadas da AWS em um fluxo de trabalho de personalização repetível.
-
Instancie seus requisitos: você pode personalizar a zona de pouso do AWS Control Tower de acordo com seus requisitos empresariais, com modelos e políticas de controle de serviços do AWS CloudFormation que expressam suas intenções de política.
-
Automatize ainda mais com os eventos de ciclo de vida do AWS Control Tower: os eventos de ciclo de vida permitem implantar recursos com base na conclusão de uma série anterior de eventos. Você pode contar com um evento de ciclo de vida para ajudar a implantar recursos em contas e UOs automaticamente.
-
Estenda a arquitetura de rede: você pode implantar arquiteturas de rede personalizadas que melhoram e protegem sua conectividade, como um gateway de trânsito.
Exemplos adicionais do CfCT
-
Um exemplo de caso de uso de rede com o Customizations for AWS Control Tower (CfCT) é apresentado na publicação do blog de arquitetura da AWS, Deploy consistent DNS with Service Catalog and AWS Control Tower customizations
. -
Um exemplo específico relacionado ao CfCT e ao Amazon GuardDuty
está disponível no GitHub no repositório aws-samples. -
Exemplos de código adicionais relacionados ao CfCT estão disponíveis como parte da Arquitetura de referência de segurança da AWS, no repositório
aws-samples. Muitos desses exemplos contêm arquivos manifest.yamlde amostra em um diretório chamadocustomizations_for_aws_control_tower.
Consulte mais informações sobre a Arquitetura de referência de segurança da AWS em AWS Prescriptive Guidance pages.
