Comptes AWS À propos d'AWS Control Tower - AWS Control Tower
Que se passe-t-il lorsque AWS Control Tower crée un compteConsidérations relatives à l'ajout de comptes de sécurité ou de journalisation existants

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comptes AWS À propos d'AWS Control Tower

An Compte AWS est le conteneur pour toutes vos propres ressources. Ces ressources incluent les identités Gestion des identités et des accès AWS (IAM) acceptées par le compte, qui déterminent qui a accès à ce compte. Les identités IAM peuvent inclure des utilisateurs, des groupes, des rôles, etc. Pour plus d'informations sur l'utilisation de l'IAM, les utilisateurs, les rôles et les politiques dans AWS Control Tower, consultez la section Gestion des identités et des accès dans AWS Control Tower.

Ressources et délai de création du compte

Lorsqu'AWS Control Tower crée ou inscrit un compte, elle déploie la configuration de ressources minimale nécessaire pour le compte. Par exemple, il peut inclure des ressources sous la forme de modèles Account Factory et d'autres ressources de votre zone de landing zone, telles que des rôles IAM, des AWS CloudTrail parcours, des produits fournis par Service Catalog et des utilisateurs d'IAM Identity Center. AWS Control Tower déploie également des ressources, conformément à la configuration de contrôle, pour l'unité organisationnelle (UO) dans laquelle le nouveau compte est destiné à devenir un compte membre.

AWS Control Tower orchestre le déploiement de ces ressources en votre nom. Le déploiement peut prendre plusieurs minutes par ressource. Tenez donc compte du temps total avant de créer ou d'inscrire un compte. Pour plus d'informations sur la gestion des ressources de vos comptes, consultezConseils pour créer et modifier les ressources AWS Control Tower.

Que se passe-t-il lorsque AWS Control Tower crée un compte

Les nouveaux comptes dans AWS Control Tower sont créés puis provisionnés par une interaction entre AWS Control Tower AWS Organizations, et AWS Service Catalog. Vous pouvez créer des comptes et inscrire des comptes existants depuis la console AWS Control Tower. Pour connaître les étapes détaillées relatives à l'inscription d'un appareil existant Compte AWS à l'aide de la console AWS Control Tower, consultezEnregistrer un compte existant depuis la console AWS Control Tower.

Dans les coulisses de la création de compte

  1. Vous lancez la demande, par exemple, depuis la page AWS Control Tower Account Factory, directement depuis la AWS Service Catalog console ou en appelant l'ProvisionProductAPI Service Catalog.

  2. AWS Service Catalog appelle AWS Control Tower.

  3. AWS Control Tower lance un flux de travail qui, dans un premier temps, appelle l' AWS Organizations CreateAccountAPI.

  4. Après avoir AWS Organizations créé le compte, AWS Control Tower termine le processus de provisionnement en appliquant des plans et des contrôles.

  5. Service Catalog continue d'interroger AWS Control Tower pour vérifier si le processus de mise en service est terminé.

  6. Lorsque le flux de travail dans AWS Control Tower est terminé, Service Catalog finalise l'état du compte et vous informe (le demandeur) du résultat.

Considérations relatives à l'ajout de comptes de sécurité ou de journalisation existants

Avant d'accepter un Compte AWS compte de sécurité (nom par défaut : Audit) ou de journalisation (nom par défaut : archive du journal), AWS Control Tower vérifie si le compte contient des ressources en conflit avec les exigences d'AWS Control Tower. Par exemple, vous pouvez avoir un bucket de journalisation portant le même nom que celui requis par AWS Control Tower. AWS Control Tower vérifie également que le compte peut fournir des ressources ; par exemple, en s'assurant que AWS Security Token Service (AWS STS) est activé, que le compte n'est pas suspendu et qu'AWS Control Tower est autorisée à fournir des ressources au sein du compte.

AWS Control Tower ne supprime aucune ressource existante dans les comptes de journalisation et de sécurité que vous fournissez. Toutefois, si vous choisissez de l'activer, le contrôle de refus de la région AWS Control Tower empêche l'accès aux ressources dans les régions interdites.

Sécurité de vos comptes

Vous trouverez des conseils sur les meilleures pratiques pour protéger la sécurité de votre compte de gestion AWS Control Tower et de vos comptes membres dans la AWS Organizations documentation.