Acerca de las cuentas compartidas - AWS Control Tower
Cuenta de administraciónCuenta del archivo de registroCuenta de auditoría

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acerca de las cuentas compartidas

Cuentas de AWS Hay tres especiales asociadas a AWS Control Tower: la cuenta de administración, la cuenta de auditoría y la cuenta de archivo de registros. Por lo general, estas cuentas se denominan cuentas compartidas o, en ocasiones, cuentas principales.

  • Puede seleccionar nombres personalizados para las cuentas de auditoría y de archivo de registro al configurar la zona de aterrizaje. Para obtener información sobre cómo cambiar el nombre de una cuenta, consulte Cambio externo de nombres de recursos de AWS Control Tower.

  • También puede especificar una cuenta existente Cuenta de AWS como de seguridad o de registro de AWS Control Tower durante el proceso inicial de configuración de la landing zone. Esta opción elimina la necesidad de que AWS Control Tower cree nuevas cuentas compartidas. (se trata de una selección única).

Para obtener más información sobre las cuentas compartidas y sus recursos asociados, consulte Recursos creados en las cuentas compartidas.

Cuenta de administración

Esto Cuenta de AWS lanza AWS Control Tower. De forma predeterminada, el usuario raíz de esta cuenta y el usuario de IAM o el usuario administrador de IAM de esta cuenta tienen acceso completo a todos los recursos de la zona de aterrizaje.

nota

Como práctica recomendada, le sugerimos iniciar sesión como usuario de IAM Identity Center con privilegios de administrador al realizar funciones administrativas en la consola de la AWS Control Tower, en lugar de iniciar sesión como usuario raíz o usuario administrador de IAM en esta cuenta.

Para obtener más información sobre los roles y los recursos disponibles en la cuenta de administración, consulte Recursos creados en las cuentas compartidas.

Cuenta del archivo de registro

La cuenta compartida del archivo de registros se configura automáticamente al crear tu landing zone, si no traes otra AWS cuenta específicamente.

Esta cuenta contiene un bucket central de Amazon S3 para almacenar una copia de todas las cuentas AWS CloudTrail y los archivos de AWS Config registro de todas las demás cuentas de tu landing zone. Como práctica recomendada, le sugerimos restringir el acceso a la cuenta de archivo de registro a los equipos responsables del cumplimiento y las investigaciones, así como a las herramientas de seguridad o auditoría relacionadas. Esta cuenta se puede usar para auditorías de seguridad automatizadas o para alojar funciones personalizadas Reglas de AWS Config, como Lambda, para realizar acciones de corrección.

Política de buckets de Amazon S3

En la versión 3.3 y posteriores de la zona de aterrizaje de AWS Control Tower, las cuentas deben cumplir la condición aws:SourceOrgID para obtener permisos de escritura en el bucket de auditoría. Esta condición garantiza que CloudTrail solo pueda escribir registros en nombre de las cuentas de su organización en su bucket de S3; evita que CloudTrail los registros ajenos a su organización se escriban en su bucket de S3 de AWS Control Tower. Para obtener más información, consulte Zona de aterrizaje de AWS Control Tower, versión 3.3.

Para obtener más información sobre los roles y los recursos disponibles en la cuenta de archivo de registro, consulte Recursos de cuentas de archivo de registro

nota

Estos registros no se pueden cambiar. Todos los registros se almacenan con fines de auditoría e investigaciones de cumplimiento relacionadas con la actividad de la cuenta.

Cuenta de auditoría

Esta cuenta compartida del archivo de registro se configura automáticamente al crear la zona de aterrizaje si no incorpora específicamente otra cuenta de .

La cuenta de auditoría debe estar restringida a los equipos de seguridad y cumplimiento con roles entre cuentas de auditor (solo lectura) y administrador (acceso completo) en todas las cuentas de la zona de aterrizaje. Estos roles están pensados para que los utilicen los equipos de seguridad y cumplimiento a fin de:

  • Realice auditorías mediante AWS mecanismos, como el alojamiento de funciones Lambda de AWS Config reglas personalizadas.

  • Realizar operaciones de seguridad automatizadas, como acciones de corrección.

La cuenta de auditoría también recibe notificaciones a través del servicio Amazon Simple Notification Service (Amazon SNS). Se pueden recibir tres categorías de notificaciones:

  • Todos los eventos de configuración: en este tema se agrupan todos los eventos de configuración CloudTrail y AWS Config las notificaciones de todas las cuentas de tu landing zone.

  • Notificaciones de seguridad agregadas: en este tema se agrupan todas las notificaciones de seguridad de CloudWatch eventos específicos, eventos de cambios en el estado de Reglas de AWS Config cumplimiento y GuardDuty hallazgos.

  • Notificaciones de derrape: en este tema se recopilan todas las advertencias de derrape descubiertas en todas las cuentas OUs, usuarios y SCPs en tu landing zone. Para obtener más información sobre derivación, consulte Detección y resolución de desviaciones en AWS Control Tower.

Las notificaciones de auditoría que se activan en una cuenta de miembro también pueden enviar alertas a un tema local de Amazon SNS. Esta funcionalidad permite a los administradores de cuentas suscribirse a notificaciones de auditoría específicas de una cuenta de miembro individual. Como resultado, los administradores pueden resolver los problemas que afectan a una cuenta individual y, al mismo tiempo, agregar todas las notificaciones de la cuenta a la cuenta de auditoría centralizada. Para obtener más información, consulte la Guía para desarrolladores de Amazon Simple Notification Service.

Para obtener más información sobre los roles y los recursos disponibles en la cuenta de auditoría, consulte Recursos de cuentas de auditoría.

Para obtener más información sobre la auditoría mediante programación, consulte Roles mediante programación y relaciones de confianza de la cuenta de auditoría de AWS Control Tower.

importante

La dirección de correo electrónico que facilite para la cuenta de auditoría recibirá correos electrónicos de Notificación de AWS: confirmación de suscripción de todas las Región de AWS admitidas por AWS Control Tower. Para recibir correos electrónicos de conformidad en su cuenta de auditoría, debe elegir el enlace Confirmar suscripción incluido en cada correo electrónico de cada correo electrónico Región de AWS compatible con AWS Control Tower.