Como funciona a AWS Control Tower - AWS Control Tower
Estrutura de uma zona de pouso da AWS Control TowerO que acontece quando você configura uma zona de pousoO que são as contas compartilhadas?Como os controles funcionamComo a AWS Control Tower funciona com StackSets

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como funciona a AWS Control Tower

Esta seção descreve em um alto nível como a AWS Control Tower funciona. Sua landing zone é um ambiente multicontas bem arquitetado para todos os seus recursos. AWS Você pode usar esse ambiente para impor normas de conformidade em todas as suas AWS contas.

Estrutura de uma zona de pouso da AWS Control Tower

A estrutura de um landing zone na AWS Control Tower é a seguinte:

  • Root — O pai que contém todos os outros OUs em sua landing zone.

  • UO de segurança: essa UO contém as contas de arquivamento de logs e de auditoria. Essas contas geralmente são chamadas de contas compartilhadas. Ao iniciar sua landing zone, você pode escolher nomes personalizados para essas contas compartilhadas e tem a opção de trazer AWS contas existentes para a AWS Control Tower para segurança e registro. No entanto, elas não podem ser renomeadas posteriormente e as contas existentes não podem ser adicionadas para fins de segurança e registro após o lançamento inicial.

  • UO de sandbox: a UO de sandbox é criada quando você inicia a zona de pouso, se você a habilita. Esse e outros registros OUs contêm as contas inscritas com as quais seus usuários trabalham para realizar suas AWS cargas de trabalho.

  • IAMDiretório do Identity Center — Esse diretório abriga os usuários do IAM Identity Center. Ele define o escopo das permissões para cada usuário do IAM Identity Center.

  • IAMUsuários do Identity Center — Essas são as identidades que seus usuários podem assumir para realizar suas AWS cargas de trabalho em sua landing zone.

O que acontece quando você configura uma zona de pouso

Quando você configura uma landing zone, o AWS Control Tower executa as seguintes ações em sua conta de gerenciamento em seu nome:

  • Cria duas unidades AWS Organizations organizacionais (OUs): Segurança e Sandbox (opcional), contidas na estrutura raiz organizacional.

  • Cria ou adiciona duas contas compartilhadas na UO de segurança: a conta de arquivamento de logs e a de auditoria.

  • Cria um diretório nativo da nuvem no IAM Identity Center, com grupos pré-configurados e acesso de login único, se você escolher a configuração padrão da Control TowerAWS, ou permite que você autogerencie seu provedor de identidade.

  • Aplica todos os controles obrigatórios e preventivos para implementar as políticas.

  • Aplica todos os controles de detecção obrigatórios para detectar violações de configuração.

  • Os controles preventivos não são aplicados à conta de gerenciamento.

  • Com exceção da conta de gerenciamento, os controles são aplicados à organização como um todo.

Gerenciamento seguro de recursos em sua zona de aterrissagem e contas da AWS Control Tower

  • Quando você cria sua landing zone, vários AWS recursos são criados. Para usar a AWS Control Tower, você não deve modificar ou excluir esses recursos gerenciados da AWS Control Tower fora dos métodos suportados descritos neste guia. Excluir ou modificar esses recursos fará a zona de pouso entrar em um estado desconhecido. Para obter detalhes, consulte Orientações para criar e modificar recursos do AWS Control Tower

  • Quando você ativa controles opcionais (aqueles com orientação altamente recomendada ou eletiva), o AWS Control Tower cria AWS recursos que ele gerencia em suas contas. Não modifique nem exclua recursos criados pela AWS Control Tower. Isso pode fazer com que os controles entrem em um estado desconhecido.

O que são as contas compartilhadas?

No AWS Control Tower, as contas compartilhadas em sua landing zone são provisionadas durante a configuração: a conta de gerenciamento, a conta de arquivamento de registros e a conta de auditoria.

O que é a conta de gerenciamento?

É a conta que você criou especificamente para a zona de pouso. Essa conta é usada no faturamento de tudo na zona de pouso. Também é usado para provisionar contas no Account Factory, bem como para gerenciar OUs e controlar.

nota

Não é recomendável executar nenhum tipo de carga de trabalho de produção a partir de uma conta de gerenciamento da AWS Control Tower. Crie uma conta separada do AWS Control Tower para executar suas cargas de trabalho.

Para obter mais informações, consulte Conta de gerenciamento.

O que é a conta de arquivamento de logs?

Essa conta funciona como um repositório para registros de API atividades e configurações de recursos de todas as contas na landing zone.

Para obter mais informações, consulte Conta de arquivamento de logs.

O que é a conta de auditoria?

A conta de auditoria é uma conta restrita projetada para oferecer às equipes de segurança e conformidade o acesso de leitura e gravação a todas as contas na zona de pouso. Na conta de auditoria, você tem acesso programático às contas de revisão, por meio de uma função que é concedida somente às funções do Lambda. A conta de auditoria não permite que você faça login em outras contas manualmente. Consulte mais informações sobre perfis e funções do Lambda em Como configuro uma função do Lambda para assumir um perfil do IAM em outra conta da Conta da AWS?.

Para obter mais informações, consulte Conta de auditoria.

Como os controles funcionam

Um controle é uma regra de alto nível que fornece governança contínua para todo o ambiente da AWS . Cada controle impõe uma única regra, e ela é expressa em linguagem simples. Você pode alterar os controles eletivos ou altamente recomendados que estão em vigor, a qualquer momento, no console da AWS Control Tower ou na AWS Control TowerAPIs. Os controles obrigatórios são sempre aplicados e não podem ser alterados.

Os controles preventivos evitam que ações ocorram. Por exemplo, o controle eletivo chamado Proibir alterações na política de bucket para buckets do Amazon S3 (anteriormente chamado de Proibir alterações de política no arquivamento de registros) impede IAM qualquer alteração de política na conta compartilhada do arquivamento de registros. Qualquer tentativa de realizar uma ação impedida é negada e registrada no CloudTrail. O recurso também está logado AWS Config.

Os controles de detetive detectam eventos específicos quando eles ocorrem e registram a ação. CloudTrail Por exemplo, o controle altamente recomendado chamado Detect Whein Encryption is Enabled for Amazon EBS Volumes Attached to Amazon EC2 Instances detecta se um EBS volume Amazon não criptografado está vinculado a uma EC2 instância em sua landing zone.

Os controles proativos verificam se os recursos estão em conformidade com as políticas e os objetivos da sua empresa, antes que os recursos sejam provisionados nas contas. Se os recursos estiverem fora de conformidade, eles não serão provisionados. Os controles proativos monitoram os recursos que seriam implantados em suas contas por meio de AWS CloudFormation modelos.

Para aqueles que estão familiarizados com AWS: No AWS Control Tower, os controles preventivos são implementados com as Políticas de Controle de Serviços (SCPs). Os controles de detetive são implementados com AWS Config regras. Os controles proativos são implementados com AWS CloudFormation ganchos.

Como a AWS Control Tower funciona com StackSets

AWSA Control Tower usa AWS CloudFormation StackSets para configurar recursos em suas contas. Cada conjunto de pilhas tem StackInstances o que corresponde às contas e a Regiões da AWS cada conta. AWS A Control Tower implanta uma instância de conjunto de pilhas por conta e região.

AWSO Control Tower aplica atualizações a determinadas contas e de Regiões da AWS forma seletiva, com base em AWS CloudFormation parâmetros. Quando as atualizações são aplicadas a algumas instâncias de pilha, outras instâncias de pilha podem ser deixadas no status Outdated (Desatualizada). Esse comportamento é esperado e normal.

Quando uma instância de pilha entra no status Outdated (Desatualizada), isso geralmente significa que a pilha correspondente a essa instância de pilha não está alinhada ao modelo mais recente no conjunto de pilhas. A pilha permanece no modelo mais antigo, portanto, pode não incluir os recursos ou parâmetros mais recentes. A pilha ainda é completamente utilizável.

Aqui está um breve resumo do comportamento esperado, com base nos parâmetros do AWS CloudFormation especificados durante uma atualização:

Se a atualização do conjunto de pilhas incluir alterações no modelo (ou seja, se as TemplateURL propriedades TemplateBody ou forem especificadas) ou se a Parameters propriedade for especificada, AWS CloudFormation marcará todas as instâncias da pilha com o status Desatualizado antes de atualizar as instâncias da pilha nas contas especificadas e. Regiões da AWS Se a atualização do conjunto de pilhas não incluir alterações no modelo ou nos parâmetros, AWS CloudFormation atualize as instâncias da pilha nas contas e regiões especificadas, deixando todas as outras instâncias da pilha com o status atual de instância da pilha. Para atualizar todas as instâncias de pilha associadas a um conjunto de pilhas, não especifique as propriedades Accounts ou Regions.

Para obter mais informações, consulte Atualizar seu conjunto de pilhas no Guia do AWS CloudFormation usuário.