Como o AWS Control Tower funciona - AWS Control Tower
Estrutura de uma zona de pouso do AWS Control TowerO que acontece quando você configura uma zona de pousoO que são as contas compartilhadas?Como os controles funcionamComo o AWS Control Tower funciona com StackSets

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como o AWS Control Tower funciona

Esta seção descreve em nível geral como o AWS Control Tower funciona. Sua landing zone é um ambiente multicontas bem arquitetado para todos os seus recursos. AWS Você pode usar esse ambiente para impor normas de conformidade em todas as suas AWS contas.

Estrutura de uma zona de pouso do AWS Control Tower

A estrutura de uma zona de pouso no AWS Control Tower é a seguinte:

  • Root — O pai que contém todos os outros OUs em sua landing zone.

  • UO de segurança: essa UO contém as contas de arquivamento de logs e de auditoria. Essas contas geralmente são chamadas de contas compartilhadas. Ao iniciar sua landing zone, você pode escolher nomes personalizados para essas contas compartilhadas e tem a opção de trazer AWS contas existentes para o AWS Control Tower para fins de segurança e registro. No entanto, elas não podem ser renomeadas posteriormente e as contas existentes não podem ser adicionadas para fins de segurança e registro após o lançamento inicial.

  • UO de sandbox: a UO de sandbox é criada quando você inicia a zona de pouso, se você a habilita. Esse e outros registros OUs contêm as contas inscritas com as quais seus usuários trabalham para realizar suas cargas de trabalho da AWS.

  • Diretório do Centro de Identidade do IAM: esse diretório abriga os usuários do Centro de Identidade do IAM. Ele define o escopo de permissões para cada usuário do Centro de Identidade do IAM.

  • Usuários do IAM Identity Center — Essas são as identidades que seus usuários podem assumir para realizar suas AWS cargas de trabalho em sua landing zone.

O que acontece quando você configura uma zona de pouso

Quando você configura uma zona de pouso, o AWS Control Tower realiza as seguintes ações na conta de gerenciamento em seu nome:

  • Cria duas unidades AWS Organizations organizacionais (OUs): Segurança e Sandbox (opcional), contidas na estrutura raiz organizacional.

  • Cria ou adiciona duas contas compartilhadas na UO de segurança: a conta de arquivamento de logs e a de auditoria.

  • Cria um diretório nativo da nuvem no Centro de Identidade do IAM, com grupos pré-configurados e acesso de login único, se você escolher a configuração padrão do AWS Control Tower, ou permite que você autogerencie seu provedor de identidades.

  • Aplica todos os controles obrigatórios e preventivos para implementar as políticas.

  • Aplica todos os controles de detecção obrigatórios para detectar violações de configuração.

  • Os controles preventivos não são aplicados à conta de gerenciamento.

  • Com exceção da conta de gerenciamento, os controles são aplicados à organização como um todo.

Gerenciar recursos com segurança dentro da zona de pouso e das contas do AWS Control Tower

  • Quando você cria sua landing zone, vários AWS recursos são criados. Para usar o AWS Control Tower, você não deve modificar nem excluir esses recursos gerenciados pelo AWS Control Tower fora dos métodos compatíveis descritos neste guia. Excluir ou modificar esses recursos fará a zona de pouso entrar em um estado desconhecido. Para obter detalhes, consulte Orientações para criar e modificar recursos do AWS Control Tower

  • Quando você ativa controles opcionais (aqueles com orientação altamente recomendada ou eletiva), o AWS Control Tower cria AWS recursos que são gerenciados em suas contas. Não modifique nem exclua recursos criados pelo AWS Control Tower. Isso pode fazer com que os controles entrem em um estado desconhecido.

O que são as contas compartilhadas?

No AWS Control Tower, três contas compartilhadas na zona de pouso são provisionadas durante a configuração: a conta de gerenciamento, a conta de arquivamento de logs e a conta de auditoria.

O que é a conta de gerenciamento?

É a conta que você criou especificamente para a zona de pouso. Essa conta é usada no faturamento de tudo na zona de pouso. Também é usado para provisionar contas no Account Factory, bem como para gerenciar OUs e controlar.

nota

Não é recomendado executar nenhum tipo de workload de produção em uma conta de gerenciamento do AWS Control Tower. Crie uma conta do AWS Control Tower separada para executar suas workloads.

Para obter mais informações, consulte Conta de gerenciamento.

O que é a conta de arquivamento de logs?

Essa conta funciona como um repositório para logs de atividades da API e configurações de recursos de todas as contas na zona de pouso.

Para obter mais informações, consulte Conta de arquivamento de logs.

O que é a conta de auditoria?

A conta de auditoria é uma conta restrita projetada para oferecer às equipes de segurança e conformidade o acesso de leitura e gravação a todas as contas na zona de pouso. Na conta de auditoria, você tem acesso programático às contas de revisão, por meio de uma função que é concedida somente às funções do Lambda. A conta de auditoria não permite que você faça login em outras contas manualmente. Consulte mais informações sobre perfis e funções do Lambda em Como configuro uma função do Lambda para assumir um perfil do IAM em outra conta da Conta da AWS?.

Para obter mais informações, consulte Conta de auditoria.

Como os controles funcionam

Um controle é uma regra de alto nível que fornece governança contínua para todo o ambiente da AWS . Cada controle impõe uma única regra, e ela é expressa em linguagem simples. Você pode alterar os controles eletivos ou altamente recomendados que estão em vigor, a qualquer momento, no console da AWS Control Tower ou na AWS Control Tower APIs. Os controles obrigatórios são sempre aplicados e não podem ser alterados.

Os controles preventivos evitam que ações ocorram. Por exemplo, o controle eletivo chamado Não permitir alterações na política dos buckets do Amazon S3 (anteriormente chamado de Não permitir alterações na política de arquivamento de logs) impede qualquer alteração na política do IAM na conta compartilhada do arquivamento de logs. Qualquer tentativa de realizar uma ação impedida é negada e registrada no CloudTrail. O recurso também está logado AWS Config.

Os controles de detetive detectam eventos específicos quando eles ocorrem e registram a ação. CloudTrail Por exemplo, o controle altamente recomendado chamado Detect Whein Encryption is Enabled for Amazon EBS Volumes Attached to Amazon EC2 Instances detecta se um volume não criptografado do Amazon EBS está anexado a EC2 uma instância em sua landing zone.

Os controles proativos verificam se os recursos estão em conformidade com as políticas e os objetivos da sua empresa, antes que os recursos sejam provisionados nas contas. Se os recursos estiverem fora de conformidade, eles não serão provisionados. Os controles proativos monitoram os recursos que seriam implantados em suas contas por meio de AWS CloudFormation modelos.

Para aqueles que estão familiarizados com AWS: No AWS Control Tower, os controles preventivos são implementados com políticas de controle de serviços (SCPs). Os controles de detetive são implementados com AWS Config regras. Os controles proativos são implementados com AWS CloudFormation ganchos.

Como o AWS Control Tower funciona com StackSets

O AWS Control Tower usa AWS CloudFormation StackSets para configurar recursos em suas contas. Cada conjunto de pilhas tem StackInstances o que corresponde às contas e a Regiões da AWS cada conta. O AWS Control Tower implanta uma instância de conjunto de pilhas por conta e região.

O AWS Control Tower aplica atualizações a determinadas contas de Regiões da AWS forma seletiva, com base em AWS CloudFormation parâmetros. Quando as atualizações são aplicadas a algumas instâncias de pilha, outras instâncias de pilha podem ser deixadas no status Outdated (Desatualizada). Esse comportamento é esperado e normal.

Quando uma instância de pilha entra no status Outdated (Desatualizada), isso geralmente significa que a pilha correspondente a essa instância de pilha não está alinhada ao modelo mais recente no conjunto de pilhas. A pilha permanece no modelo mais antigo, portanto, pode não incluir os recursos ou parâmetros mais recentes. A pilha ainda é completamente utilizável.

Aqui está um breve resumo do comportamento esperado, com base nos parâmetros do AWS CloudFormation especificados durante uma atualização:

Se a atualização do conjunto de pilhas incluir alterações no modelo (ou seja, se as TemplateURL propriedades TemplateBody ou forem especificadas) ou se a Parameters propriedade for especificada, AWS CloudFormation marcará todas as instâncias da pilha com o status Desatualizado antes de atualizar as instâncias da pilha nas contas especificadas e. Regiões da AWS Se a atualização do conjunto de pilhas não incluir alterações no modelo ou nos parâmetros, AWS CloudFormation atualize as instâncias da pilha nas contas e regiões especificadas, deixando todas as outras instâncias da pilha com o status atual de instância da pilha. Para atualizar todas as instâncias de pilha associadas a um conjunto de pilhas, não especifique as propriedades Accounts ou Regions.

Para obter mais informações, consulte Atualizar seu conjunto de pilhas no Guia do AWS CloudFormation usuário.