À propos des comptes partagés - AWS Control Tower
Compte de gestionCompte d'archivage des journauxCompte d'audit

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

À propos des comptes partagés

Trois offres spéciales Comptes AWS sont associées à AWS Control Tower : le compte de gestion, le compte d'audit et le compte d'archivage des journaux. Ces comptes sont généralement appelés comptes partagés, ou parfois comptes principaux.

  • Vous pouvez sélectionner des noms personnalisés pour les comptes d'audit et d'archivage des journaux lorsque vous configurez votre zone de landing zone. Pour plus d'informations sur la modification du nom d'un compte, consultez Modification externe des noms de ressources AWS Control Tower.

  • Vous pouvez également spécifier un compte existant Compte AWS en tant que compte de sécurité ou de journalisation AWS Control Tower, lors du processus de configuration initiale de la zone de landing zone. Grâce à cette option, AWS Control Tower n'a plus besoin de créer de nouveaux comptes partagés. (Il s'agit d'une sélection unique.)

Pour plus d'informations sur les comptes partagés et leurs ressources associées, consultezRessources créées dans les comptes partagés.

Compte de gestion

Cela Compte AWS lance AWS Control Tower. Par défaut, l'utilisateur root de ce compte et l'utilisateur IAM ou l'utilisateur administrateur IAM de ce compte ont un accès complet à toutes les ressources de votre zone de landing zone.

Note

Il est recommandé de vous connecter en tant qu'utilisateur IAM Identity Center avec des privilèges d'administrateur lorsque vous effectuez des tâches administratives dans la console AWS Control Tower, au lieu de vous connecter en tant qu'utilisateur root ou administrateur IAM pour ce compte.

Pour plus d'informations sur les rôles et les ressources disponibles dans le compte de gestion, consultezRessources créées dans les comptes partagés.

Compte d'archivage des journaux

Le compte partagé d'archivage du journal est configuré automatiquement lorsque vous créez votre zone de landing zone, si vous n'apportez pas spécifiquement un autre AWS compte.

Ce compte contient un compartiment Amazon S3 central permettant de stocker une copie de tous les comptes AWS CloudTrail et les fichiers AWS Config journaux de tous les autres comptes de votre zone de landing zone. À titre de bonne pratique, nous recommandons de restreindre l'accès aux comptes d'archivage des journaux aux équipes chargées de la conformité et des enquêtes, ainsi qu'à leurs outils de sécurité ou d'audit associés. Ce compte peut être utilisé pour des audits de sécurité automatisés ou pour héberger des fonctionnalités personnalisées AWS Config Rules, telles que des fonctions Lambda, afin d'effectuer des actions correctives.

Politique relative aux compartiments Amazon S3

Pour la version 3.3 et les versions ultérieures d'AWS Control Tower landing zone, les comptes doivent remplir une aws:SourceOrgID condition pour toute autorisation d'écriture dans votre compartiment d'audit. Cette condition garantit que CloudTrail seuls les journaux peuvent être écrits pour le compte de comptes au sein de votre organisation dans votre compartiment S3 ; elle empêche CloudTrail les journaux extérieurs à votre organisation d'écrire dans votre compartiment AWS Control Tower S3. Pour de plus amples informations, veuillez consulter Zone de landing zone d'AWS Control Tower, version 3.3.

Pour plus d'informations sur les rôles et les ressources disponibles dans le compte d'archivage des journaux, voir Archiver les ressources du compte

Note

Ces journaux ne peuvent pas être modifiés. Tous les journaux sont conservés à des fins d'audit et d'enquêtes de conformité liées à l'activité du compte.

Compte d'audit

Ce compte partagé est configuré automatiquement lorsque vous créez votre zone de landing zone, si vous n'apportez pas spécifiquement un autre compte.

Le compte d'audit doit être réservé aux équipes chargées de la sécurité et de la conformité ayant des rôles intercomptes d'auditeur (lecture seule) et d'administrateur (accès complet) pour tous les comptes de la zone de landing zone. Ces rôles sont destinés à être utilisés par les équipes de sécurité et de conformité pour :

  • Réalisez des audits par le biais de AWS mécanismes tels que l'hébergement de fonctions Lambda basées sur des AWS Config règles personnalisées.

  • Effectuez des opérations de sécurité automatisées, telles que des actions correctives.

Le compte d'audit reçoit également des notifications via le service Amazon Simple Notification Service (Amazon SNS). Trois catégories de notifications peuvent être reçues :

  • Tous les événements de configuration : cette rubrique regroupe toutes les AWS Config notifications CloudTrail de tous les comptes de votre zone de landing zone.

  • Notifications de sécurité agrégées : cette rubrique regroupe toutes les notifications de sécurité relatives à des CloudWatch événements spécifiques, à des événements de modification du statut de AWS Config Rules conformité et à des GuardDuty résultats.

  • Notifications de dérive : cette rubrique regroupe tous les avertissements de dérive découverts sur tous les comptes OUs, utilisateurs et SCPs dans votre zone de landing zone. Pour plus d’informations sur la dérive, consultez Détectez et corrigez les dérives dans AWS Control Tower.

Les notifications d'audit déclenchées au sein d'un compte membre peuvent également envoyer des alertes à une rubrique Amazon SNS locale. Cette fonctionnalité permet aux administrateurs de compte de s'abonner aux notifications d'audit spécifiques à un compte de membre individuel. Les administrateurs peuvent ainsi résoudre les problèmes qui concernent un compte individuel, tout en regroupant toutes les notifications de compte sur votre compte d'audit centralisé. Pour plus d'informations, consultez le Guide du développeur Amazon Simple Notification Service.

Pour plus d'informations sur les rôles et les ressources disponibles dans le compte d'audit, consultezRessources du compte d'audit.

Pour plus d'informations sur l'audit programmatique, consultez la section Rôles programmatiques et relations de confiance pour le compte d'audit AWS Control Tower.

Important

L'adresse e-mail que vous fournissez pour le compte d'audit reçoit des e-mails de AWS notification et de confirmation d'abonnement de la part de toutes les Région AWS entreprises prises en charge par AWS Control Tower. Pour recevoir des e-mails de conformité sur votre compte d'audit, vous devez choisir le lien de confirmation d'abonnement contenu dans chaque e-mail provenant de chaque e-mail Région AWS pris en charge par AWS Control Tower.