Como o AWS Control Tower funciona - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como o AWS Control Tower funciona

Esta seção descreve em alto nível como o AWS Control Tower funciona. Sua landing zone é um ambiente multicontas bem arquitetado para todos os seus recursos. AWS Você pode usar esse ambiente para impor normas de conformidade em todas as suas AWS contas.

Estrutura de uma zona de pouso do AWS Control Tower

A estrutura de um landing zone no AWS Control Tower é a seguinte:

  • Root — O pai que contém todas as outras OUs em sua landing zone.

  • OU de segurança — Essa OU contém as contas de arquivamento de registros e auditoria. Essas contas geralmente são chamadas de contas compartilhadas. Ao iniciar sua landing zone, você pode escolher nomes personalizados para essas contas compartilhadas e tem a opção de trazer AWS contas existentes para o AWS Control Tower para fins de segurança e registro. No entanto, elas não podem ser renomeadas posteriormente e as contas existentes não podem ser adicionadas para fins de segurança e registro após o lançamento inicial.

  • Sandbox OU — A OU Sandbox é criada quando você inicia sua landing zone, se você a habilitar. Essa e outras OUs registradas contêm as contas inscritas com as quais seus usuários trabalham para realizar suas cargas de trabalho da AWS.

  • Diretório do IAM Identity Center — Esse diretório abriga os usuários do IAM Identity Center. Ele define o escopo das permissões para cada usuário do IAM Identity Center.

  • Usuários do IAM Identity Center — Essas são as identidades que seus usuários podem assumir para realizar suas AWS cargas de trabalho em sua landing zone.

O que acontece quando você configura uma landing zone

Quando você configura uma landing zone, o AWS Control Tower executa as seguintes ações em sua conta de gerenciamento em seu nome:

  • Cria duas unidades AWS Organizations organizacionais (OUs): Segurança e Sandbox (opcional), contidas na estrutura raiz organizacional.

  • Cria ou adiciona duas contas compartilhadas na OU de segurança: a conta Log Archive e a conta Audit.

  • Cria um diretório nativo da nuvem no IAM Identity Center, com grupos pré-configurados e acesso de login único, se você escolher a configuração padrão do AWS Control Tower, ou se permitir que você autogerencie seu provedor de identidade.

  • Aplica todos os controles obrigatórios e preventivos para aplicar as políticas.

  • Aplica todos os controles de detetive obrigatórios para detectar violações de configuração.

  • Os controles preventivos não são aplicados à conta de gerenciamento.

  • Com exceção da conta de gerenciamento, os controles são aplicados à organização como um todo.

Gerenciamento seguro de recursos em sua zona de aterrissagem e contas do AWS Control Tower
  • Quando você cria sua landing zone, vários AWS recursos são criados. Para usar o AWS Control Tower, você não deve modificar ou excluir esses recursos gerenciados do AWS Control Tower fora dos métodos suportados descritos neste guia. Excluir ou modificar esses recursos fará com que sua landing zone entre em um estado desconhecido. Para obter detalhes, consulte Orientação para criar e modificar recursos da AWS Control Tower

  • Quando você ativa controles opcionais (aqueles com orientação altamente recomendada ou eletiva), o AWS Control Tower cria AWS recursos que são gerenciados em suas contas. Não modifique nem exclua recursos criados pelo AWS Control Tower. Isso pode fazer com que os controles entrem em um estado desconhecido.

Quais são as contas compartilhadas?

No AWS Control Tower, as contas compartilhadas em sua landing zone são provisionadas durante a configuração: a conta de gerenciamento, a conta de arquivamento de registros e a conta de auditoria.

O que é a conta de gerenciamento?

Essa é a conta que você criou especificamente para sua landing zone. Essa conta é usada para cobrar tudo em sua landing zone. Também é usado para o provisionamento de contas do Account Factory, bem como para gerenciar OUs e controles.

nota

Não é recomendável executar nenhum tipo de carga de trabalho de produção a partir de uma conta de gerenciamento do AWS Control Tower. Crie uma conta separada do AWS Control Tower para executar suas cargas de trabalho.

Para ter mais informações, consulte Conta de gerenciamento.

O que é a conta de arquivamento de registros?

Essa conta funciona como um repositório para registros de atividades de API e configurações de recursos de todas as contas na landing zone.

Para ter mais informações, consulte Conta de arquivamento de logs.

O que é a conta de auditoria?

A conta de auditoria é uma conta restrita projetada para dar às suas equipes de segurança e conformidade acesso de leitura e gravação a todas as contas em sua landing zone. Na conta de auditoria, você tem acesso programático às contas de revisão, por meio de uma função que é concedida somente às funções do Lambda. A conta de auditoria não permite que você faça login em outras contas manualmente. Para obter mais informações sobre funções e funções do Lambda, consulte Configurar uma função do Lambda para assumir uma função de outra. Conta da AWS

Para ter mais informações, consulte Conta de auditoria.

Como os controles funcionam

Um controle é uma regra de alto nível que fornece governança contínua para seu AWS ambiente geral. Cada controle impõe uma única regra e ela é expressa em linguagem simples. Você pode alterar os controles eletivos ou altamente recomendados que estão em vigor, a qualquer momento, no console do AWS Control Tower ou nas APIs do AWS Control Tower. Os controles obrigatórios são sempre aplicados e não podem ser alterados.

Os controles preventivos evitam que ações ocorram. Por exemplo, o controle eletivo chamado Disallow Changes to Bucket Policy for Amazon S3 Buckets (anteriormente chamado de Disallow Policy Changes to Log Archive) impede qualquer alteração na política do IAM na conta compartilhada do arquivamento de logs. Qualquer tentativa de realizar uma ação evitada é negada e registrada. CloudTrail O recurso também está logado AWS Config.

Os controles de detetive detectam eventos específicos quando eles ocorrem e registram a ação. CloudTrail Por exemplo, o controle altamente recomendado chamado Detectar se a criptografia está habilitada para volumes do Amazon EBS anexados às instâncias do Amazon EC2 detecta se um volume não criptografado do Amazon EBS está conectado a uma instância do EC2 em sua landing zone.

Os controles proativos verificam se os recursos estão em conformidade com as políticas e os objetivos da sua empresa, antes que os recursos sejam provisionados em suas contas. Se os recursos estiverem fora de conformidade, eles não serão provisionados. Os controles proativos monitoram os recursos que seriam implantados em suas contas por meio de AWS CloudFormation modelos.

Para aqueles que estão familiarizados com AWS: No AWS Control Tower, os controles preventivos são implementados com políticas de controle de serviços (SCPs). Os controles de detetive são implementados com AWS Config regras. Os controles proativos são implementados com AWS CloudFormation ganchos.

Como o AWS Control Tower funciona com StackSets

O AWS Control Tower usa AWS CloudFormation StackSets para configurar recursos em suas contas. Cada conjunto de pilhas tem StackInstances o que corresponde às contas e a Regiões da AWS cada conta. O AWS Control Tower implanta uma instância de conjunto de pilhas por conta e região.

O AWS Control Tower aplica atualizações a determinadas contas de Regiões da AWS forma seletiva, com base em AWS CloudFormation parâmetros. Quando as atualizações são aplicadas a algumas instâncias de pilha, outras instâncias de pilha podem ser deixadas no status Outdated (Desatualizada). Esse comportamento é esperado e normal.

Quando uma instância de pilha entra no status Outdated (Desatualizada), isso geralmente significa que a pilha correspondente a essa instância de pilha não está alinhada ao modelo mais recente no conjunto de pilhas. A pilha permanece no modelo mais antigo, portanto, pode não incluir os recursos ou parâmetros mais recentes. A pilha ainda é completamente utilizável.

Aqui está um resumo rápido do comportamento esperado, com base nos AWS CloudFormation parâmetros especificados durante uma atualização:

Se a atualização do conjunto de pilhas incluir alterações no modelo (ou seja, se as TemplateURL propriedades TemplateBody ou forem especificadas) ou se a Parameters propriedade for especificada, AWS CloudFormation marcará todas as instâncias da pilha com o status Desatualizado antes de atualizar as instâncias da pilha nas contas especificadas e. Regiões da AWS Se a atualização do conjunto de pilhas não incluir alterações no modelo ou nos parâmetros, AWS CloudFormation atualize as instâncias da pilha nas contas e regiões especificadas, deixando todas as outras instâncias da pilha com o status atual de instância da pilha. Para atualizar todas as instâncias de pilha associadas a um conjunto de pilhas, não especifique as propriedades Accounts ou Regions.

Para obter mais informações, consulte Atualizar seu conjunto de pilhas no Guia do AWS CloudFormation usuário.