View a markdown version of this page

La AWSControl TowerExecution función, explicada - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

La AWSControl TowerExecution función, explicada

El rol AWSControlTowerExecution debe estar presente en todas las cuentas inscritas. Permite a AWS Control Tower administrar las cuentas individuales y notificar información sobre ellas a las cuentas de auditoría y de archivo de registro.

El rol AWSControlTowerExecution se puede añadir a una cuenta de varias maneras, como se indica a continuación:

  • En el caso de las cuentas de la OU de seguridad (a veces denominadas cuentas principales), AWS Control Tower crea el rol en el momento de la configuración inicial de AWS Control Tower.

  • En el caso de una cuenta del generador de cuentas creada a través de la consola de AWS Control Tower, AWS Control Tower crea este rol en el momento de la creación de la cuenta.

  • En el caso de una inscripción de cuenta única, pedimos a los clientes que creen el rol manualmente y, a continuación, inscriban la cuenta en AWS Control Tower.

  • Al extender la gobernanza a una OU, AWS Control Tower usa el StackSet- AWSControl TowerExecutionRole para crear el rol en todas las cuentas de esa OU.

nota

Al anular la inscripción de una cuenta, AWS Control Tower elimina el rol AWSControlTowerExecution, independientemente de si se creó manualmente o si lo creó la propia AWS Control Tower.

Finalidad del rol AWSControlTowerExecution:

  • AWSControlTowerExecution le permite crear e inscribir cuentas automáticamente con scripts y funciones de Lambda.

  • AWSControlTowerExecution le ayuda a configurar el registro de la organización, de modo que todos los registros de cada cuenta se envíen a la cuenta de registro.

  • AWSControlTowerExecution le permite inscribir una cuenta individual en AWS Control Tower. En primer lugar, debe añadir el rol AWSControlTowerExecution a esa cuenta. Para ver los pasos que indican cómo añadir el rol, consulte Añada manualmente el rol de IAM requerido a uno existente Cuenta de AWS e inscríbalo.

Cómo funciona el AWSControlTowerExecution rol con OUs:

El rol AWSControlTowerExecution garantiza que los controles de AWS Control Tower que haya seleccionado se apliquen automáticamente a todas las cuentas individuales de cada OU de la organización, así como a cada cuenta nueva que cree en AWS Control Tower. Como resultado:

  • Puede proporcionar informes de conformidad y seguridad con mayor facilidad, en función de las características de auditoría y registro incorporadas en los controles de AWS Control Tower.

  • Los equipos de seguridad y conformidad pueden verificar que se cumplen todos los requisitos y que no se ha producido ninguna desviación organizativa.

Para obtener más información sobre la desviación, consulte Detect and resolve drift in AWS Control Tower.

En resumen, el rol AWSControlTowerExecution y su política asociada le brindan un control flexible de la seguridad y el conformidad en toda la organización. Por lo tanto, es menos probable que se produzcan infracciones de seguridad o de protocolo.