Etapa 1: crie os endereços de e-mail de conta compartilhada - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Etapa 1: crie os endereços de e-mail de conta compartilhada

Se você estiver configurando sua landing zone em uma nova Conta da AWS, consulteConfigurar.

  • Para configurar sua landing zone com novas contas compartilhadas, o AWS Control Tower exige dois endereços de e-mail exclusivos que ainda não estejam associados a um Conta da AWS. Cada um desses endereços de e-mail servirá como uma caixa de entrada colaborativa: uma conta de e-mail compartilhada: destinada aos vários usuários da empresa que farão trabalhos específicos relacionados ao AWS Control Tower.

  • Se você estiver configurando o AWS Control Tower pela primeira vez e se estiver trazendo contas existentes de segurança e arquivamento de log para o AWS Control Tower, poderá inserir os endereços de e-mail atuais das AWS contas existentes.

Os endereços de e-mail são necessários para:

  • Conta de auditoria: essa conta é para sua equipe de usuários que precisam de acesso às informações de auditoria disponibilizadas pelo AWS Control Tower. Você também pode usar essa conta como o ponto de acesso para ferramentas de terceiros que realizarão auditoria programática do ambiente para ajudar a auditar para fins de conformidade.

  • Conta de arquivamento de registros — Essa conta é para sua equipe de usuários que precisam acessar todas as informações de registro de todas as suas contas inscritas registradas OUs em seu landing zone.

Essas contas são configuradas na UO de segurança quando você cria a zona de pouso. Como prática recomendada, indicamos que, ao realizar ações nessas contas, seja utilizado um usuário do Centro de Identidade do IAM com as permissões com o escopo adequado.

nota

Se você especificar AWS contas existentes como suas contas de auditoria e arquivamento de registros, as contas existentes devem passar por algumas verificações de pré-lançamento para garantir que nenhum recurso esteja em conflito com os requisitos do AWS Control Tower. Se essas verificações não forem bem-sucedidas, a configuração da zona de pouso poderá não ser bem-sucedida. Em particular, as contas não devem ter AWS Config recursos existentes. Para obter mais informações, consulte Considerações sobre como trazer contas de segurança ou registro em log existentes.

Para fins de clareza, este Guia do usuário sempre se refere às contas compartilhadas por seus nomes padrão: de arquivamento de logs e de auditoria. Ao ler este documento, lembre-se de substituir os nomes personalizados que você atribuiu inicialmente a essas contas, caso opte por personalizá-las. Você pode ver as contas com os nomes personalizados na página Detalhes da conta.

nota

Estamos alterando nossa terminologia em relação aos nomes padrão de algumas unidades organizacionais do AWS Control Tower (OUs) para alinhar com a estratégia de AWS várias contas. Você pode notar algumas inconsistências enquanto estamos fazendo uma transição para melhorar a clareza desses nomes. A UO de segurança era chamada de UO principal. A UO de sandbox era chamada de UO personalizada.