Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Qu'est-ce qu'AWS Control Tower ?
AWS Control Tower offre un moyen simple de configurer et de gérer un environnement AWS multi-comptes, en suivant les meilleures pratiques prescriptives. AWS Control Tower *orchestre les* capacités de plusieurs autres [AWS services](https://docs.aws.amazon.com//controltower/latest/userguide/integrated-services.html), notamment AWS Organizations, et AWS Service Catalog AWS IAM Identity Center, pour créer une zone d'atterrissage en moins d'une heure. Les ressources sont configurées et gérées en votre nom.
L'orchestration d'AWS Control Tower étend les fonctionnalités de. AWS Organizations Pour protéger vos organisations et vos comptes contre la *dérive*, qui constitue une divergence par rapport aux meilleures pratiques, AWS Control Tower applique des contrôles (parfois appelés barrières de *sécurité).* Par exemple, vous pouvez utiliser des contrôles pour garantir que les journaux de sécurité et les autorisations d'accès entre comptes nécessaires sont créés, et non modifiés.
Si vous hébergez plusieurs comptes, il est avantageux de disposer d'une couche d'orchestration qui facilite le déploiement et la gouvernance des comptes. Vous pouvez adopter AWS Control Tower comme principal moyen de provisionner des comptes et une infrastructure. Avec AWS Control Tower, vous pouvez plus facilement adhérer aux normes de l'entreprise, satisfaire aux exigences réglementaires et suivre les meilleures pratiques.
AWS Control Tower permet aux utilisateurs finaux de vos équipes distribuées de créer rapidement de nouveaux AWS comptes, au moyen de modèles de comptes configurables dans Account Factory. Dans le même temps, vos administrateurs cloud centraux peuvent vérifier que tous les comptes sont conformes aux politiques de conformité établies à l'échelle de l'entreprise.
En bref, AWS Control Tower offre le moyen le plus simple de configurer et de gérer un AWS environnement multi-comptes sécurisé et conforme, basé sur les meilleures pratiques établies en collaboration avec des milliers d'entreprises. Pour plus d'informations sur l'utilisation d'AWS Control Tower et sur les meilleures pratiques décrites dans la stratégie AWS multi-comptes, consultez[AWS stratégie multi-comptes : guide des meilleures pratiques](aws-multi-account-landing-zone.md#multi-account-guidance).
## Caractéristiques
AWS Control Tower possède les fonctionnalités suivantes :
+ **Zone d'atterrissage** — Une zone d'atterrissage est un [environnement multi-comptes](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/appendix-e-establish-multi-account.html#example-workloads-flat-structure) bien conçu, basé sur les meilleures pratiques en matière de sécurité et de conformité. Il s'agit du conteneur à l'échelle de l'entreprise qui contient toutes vos unités organisationnelles (OUs), comptes, utilisateurs et autres ressources que vous souhaitez soumettre à la réglementation de conformité. Une zone de destination peut être mise à l'échelle pour s'adapter aux besoins de l'entreprise, quelle que soit sa taille.
+ **Contrôles** — Un contrôle (parfois appelé *garde-fou*) est une règle de haut niveau qui fournit une gouvernance continue de votre environnement global AWS . Elle est exprimée en langage simple. Il existe trois types de contrôles : les contrôles *préventifs*, les contrôles de *détection* et les contrôles *proactifs*. Trois catégories de directives s'appliquent aux contrôles : *obligatoires*, *fortement recommandés* ou *facultatifs*. Pour plus d'informations sur les contrôles, consultez[Comment fonctionnent les commandes](how-controls-work.md).
+ **Account Factory** — An Account Factory est un modèle de compte configurable qui permet de normaliser le provisionnement de nouveaux comptes grâce à des configurations de compte préapprouvées. AWS Control Tower propose une Account Factory intégrée qui permet d'automatiser le flux de travail de provisionnement des comptes dans votre organisation. Pour de plus amples informations, veuillez consulter [Provisionner et gérer des comptes avec Account Factory](account-factory.md).
+ **Tableau de bord** : le tableau de bord permet à votre équipe d'administrateurs cloud centraux de superviser en permanence votre zone d'atterrissage. Utilisez le tableau de bord pour voir les comptes provisionnés au sein de votre entreprise, les contrôles activés pour l'application des politiques, les contrôles activés pour la détection continue des non-conformités aux politiques et les ressources non conformes organisées par comptes et. OUs
## Comment AWS Control Tower interagit avec les autres services AWS
AWS Control Tower repose sur des AWS services fiables et fiables AWS Service Catalog, notamment AWS IAM Identity Center, et AWS Organizations. Pour de plus amples informations, veuillez consulter [Services intégrés](integrated-services.md).
Vous pouvez intégrer AWS Control Tower à d'autres AWS services dans une solution qui vous aide à migrer vos charges de travail existantes. AWS Pour plus d'informations, consultez [Comment tirer parti d'AWS Control Tower et CloudEndure migrer les charges de travail vers](https://aws.amazon.com//blogs/mt/how-to-take-advantage-of-aws-control-tower-and-cloudendure-to-migrate-workloads-to-aws/). AWS
**Configuration, gouvernance et extensibilité**
+ *Configuration automatisée des comptes :* AWS Control Tower automatise le déploiement et l'inscription des comptes au moyen d'un Account Factory (ou « distributeur automatique »), qui est conçu comme une abstraction au-dessus des produits fournis. AWS Service Catalog The Account Factory peut créer et inscrire AWS des comptes, et automatise le processus d'application de contrôles et de politiques à ces comptes. Pour plus d'informations sur la création et le provisionnement de comptes, consultez la section [Méthodes de provisionnement](https://docs.aws.amazon.com//controltower/latest/userguide/methods-of-provisioning.html).
+ *Gouvernance centralisée :* en utilisant les fonctionnalités d'AWS Control Tower AWS Organizations, elle met en place un cadre garantissant une conformité et une gouvernance cohérentes dans votre environnement multi-comptes. Le AWS Organizations service fournit des fonctionnalités essentielles pour gérer un environnement multi-comptes, notamment la gouvernance et la gestion centralisées des comptes, la création de comptes depuis AWS Organizations APIs, les politiques de contrôle des services (SCPs) et les politiques de contrôle des ressources (RCPs).
+ *Extensibilité :* vous pouvez créer ou étendre votre propre environnement AWS Control Tower en travaillant directement dans AWS Organizations ou dans la console AWS Control Tower. Vous pouvez voir vos modifications reflétées dans AWS Control Tower après avoir enregistré vos organisations existantes et inscrit vos comptes existants dans AWS Control Tower. Vous pouvez mettre à jour la zone de landing de votre AWS Control Tower en fonction de vos modifications. Si vos charges de travail nécessitent des fonctionnalités avancées supplémentaires, vous pouvez tirer parti des solutions d'autres AWS partenaires, ainsi que d'AWS Control Tower.
## Utilisez-vous AWS Control Tower pour la première fois ?
Si c'est la première fois que vous utilisez ce service, nous vous recommandons de lire ce qui suit :
1. Si vous avez besoin de plus d'informations sur la façon de planifier et d'organiser votre zone d'atterrissage, consultez [Planifiez la zone de landing de votre AWS Control Tower](planning-your-deployment.md) et[AWS stratégie multi-comptes pour votre zone de landing zone AWS Control Tower](aws-multi-account-landing-zone.md).
1. Si vous êtes prêt à créer votre première zone de destination, veuillez consulter [Commencer à utiliser AWS Control Tower](getting-started-with-control-tower.md).
1. Pour de plus amples informations sur la prévention et la détection de la dérive, veuillez consulter [Détectez et corrigez les dérives dans AWS Control Tower](drift.md).
1. Pour les détails de sécurité, veuillez consulter [Sécurité dans AWS Control Tower](security.md).
1. Pour plus d'informations sur la mise à jour de votre zone de landing zone et de vos comptes membres, consultez[Gestion des mises à jour de configuration dans AWS Control Tower](configuration-updates.md).
# Comment fonctionne AWS Control Tower
Cette section décrit de manière détaillée le fonctionnement d'AWS Control Tower. Votre zone de landing zone est un environnement multi-comptes bien conçu pour toutes vos ressources. AWS Vous pouvez utiliser cet environnement pour appliquer les réglementations de conformité à tous vos AWS comptes.
## Structure d'une zone d'atterrissage d'une tour de contrôle AWS
La structure d'une zone d'atterrissage dans AWS Control Tower est la suivante :
+ **Root** — Le parent qui contient tous les autres éléments OUs de votre zone de landing zone.
+ **UO de sécurité** — Cette UO contient les comptes d'archive des journaux et d'audit. Ces comptes sont souvent appelés *comptes partagés*. Lorsque vous lancez votre zone de landing zone, vous pouvez choisir des noms personnalisés pour ces comptes partagés, et vous avez la possibilité d'intégrer des AWS comptes existants dans AWS Control Tower pour des raisons de sécurité et de journalisation. Toutefois, ils ne peuvent pas être renommés ultérieurement, et les comptes existants ne peuvent pas être ajoutés pour des raisons de sécurité et de journalisation après le lancement initial.
+ **OU Sandbox** — L'UO Sandbox est créée lorsque vous lancez votre zone d'atterrissage, si vous l'activez. Ce compte enregistré et d'autres comptes enregistrés OUs contiennent les comptes inscrits avec lesquels vos utilisateurs travaillent pour effectuer leurs AWS charges de travail.
+ **Répertoire du centre d'identité IAM** : par défaut, ce répertoire héberge les utilisateurs de votre centre d'identité IAM. Il définit l'étendue des autorisations pour chaque utilisateur d'IAM Identity Center. Vous pouvez éventuellement choisir de gérer vous-même votre identité et votre contrôle d'accès. Pour plus d'informations, consultez [Travailler avec AWS IAM Identity Center et AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/sso.html).
+ **Utilisateurs de l'IAM Identity Center** : il s'agit des identités que vos utilisateurs peuvent adopter pour exécuter leurs AWS charges de travail dans votre zone de landing zone.
## Que se passe-t-il lorsque vous configurez une zone d'atterrissage
Lorsque vous configurez une zone de landing zone, AWS Control Tower effectue les actions suivantes sur votre compte de gestion en votre nom :
+ Crée deux unités AWS Organizations organisationnelles (OUs) : Security et Sandbox (facultatif), contenues dans la structure racine de l'organisation.
+ Crée ou ajoute deux comptes partagés dans l'unité d'organisation de sécurité : le compte Log Archive et le compte Audit.
+ Crée un annuaire cloud natif dans IAM Identity Center, avec des groupes préconfigurés et un accès par authentification unique, si vous choisissez la configuration par défaut d'AWS Control Tower, ou si cela vous permet de gérer vous-même votre fournisseur d'identité.
+ Applique tous les contrôles préventifs obligatoires pour appliquer les politiques.
+ Applique tous les contrôles de détection obligatoires pour détecter les violations de configuration.
+ *Les contrôles préventifs ne sont pas appliqués au compte de gestion.*
+ À l'exception du compte de gestion, les contrôles sont appliqués à l'ensemble de l'organisation.
**Gestion sécurisée des ressources au sein de votre zone d'atterrissage et de vos comptes AWS Control Tower**
+ Lorsque vous créez votre zone de landing zone, un certain nombre de AWS ressources sont créées. Pour utiliser AWS Control Tower, vous ne devez pas modifier ou supprimer ces ressources gérées par AWS Control Tower en dehors des méthodes prises en charge décrites dans ce guide. La suppression ou la modification de ces ressources fera entrer votre zone d'atterrissage dans un état inconnu. Pour plus d’informations, consultez [Conseils pour la création et la modification des ressources AWS Control Tower](getting-started-guidance.md).
+ Lorsque vous activez les contrôles facultatifs (ceux qui sont *fortement recommandés ou facultatifs*), AWS Control Tower crée AWS des ressources qu'elle gère dans vos comptes. Ne modifiez ni ne supprimez les ressources créées par AWS Control Tower. Cela peut entraîner l'entrée des commandes dans un état inconnu.
# Quels sont les comptes partagés ?
Dans AWS Control Tower, les comptes partagés de votre zone de landing zone sont provisionnés lors de la configuration : le compte de gestion, le compte d'archivage des journaux et le compte d'audit.
## Qu'est-ce que le compte de gestion ?
Il s'agit du compte que vous avez créé spécifiquement pour votre zone de landing zone. Ce compte est utilisé pour facturer tout ce qui se trouve dans votre zone de landing zone. Il est également utilisé pour le provisionnement des comptes par Account Factory, ainsi que pour les gérer OUs et les contrôler.
**Note**
Il n'est pas recommandé d'exécuter des charges de travail de production à partir d'un compte de gestion AWS Control Tower. Créez un compte AWS Control Tower distinct pour exécuter vos charges de travail.
Pour de plus amples informations, veuillez consulter [Compte de gestion](special-accounts.md#mgmt-account).
## Qu'est-ce que le compte d'archivage des journaux ?
Ce compte fonctionne comme un référentiel pour les journaux des activités de l'API et des configurations de ressources de tous les comptes de la zone de landing zone.
Pour de plus amples informations, veuillez consulter [Compte d'archivage des journaux](special-accounts.md#log-archive-account).
## Qu'est-ce que le compte d'audit ?
Le compte d'audit est un compte restreint conçu pour donner à vos équipes de sécurité et de conformité un accès en lecture et en écriture à tous les comptes de votre zone de landing zone. Depuis le compte d'audit, vous disposez d'un accès par programmation pour passer en revue les comptes, au moyen d'un rôle qui est accordé uniquement aux fonctions Lambda. Le compte d'audit ne vous permet pas de vous connecter manuellement à d'autres comptes. Pour plus d'informations sur les fonctions et les rôles Lambda, voir [Configurer une fonction Lambda pour qu'elle assume le rôle d'une autre](https://aws.amazon.com/premiumsupport/knowledge-center/lambda-function-assume-iam-role). Compte AWS
Pour de plus amples informations, veuillez consulter [Compte d'audit](special-accounts.md#audit-account).
# Comment fonctionnent les commandes
Un contrôle est une règle de haut niveau qui fournit une gouvernance continue de votre AWS environnement global. Chaque contrôle applique une règle unique, exprimée en langage clair. Vous pouvez modifier les contrôles facultatifs ou fortement recommandés qui sont en vigueur à tout moment depuis la console AWS Control Tower ou l'AWS Control Tower APIs. Les contrôles obligatoires sont toujours appliqués et ne peuvent pas être modifiés.
Les contrôles préventifs empêchent les actions de se produire. Par exemple, le contrôle électif appelé Interdire les **modifications apportées à la politique de compartiment pour les compartiments Amazon S3** (précédemment appelé Interdire les **modifications de politique aux archives de journaux**) empêche toute modification de la politique IAM au sein du compte partagé d'archives de journaux. Toute tentative de réalisation d'une action empêchée est refusée et consignée dans CloudTrail. La ressource est également connectée AWS Config.
Les contrôles Detective détectent des événements spécifiques lorsqu'ils se produisent et enregistrent l'actionCloudTrail. Par exemple, le contrôle fortement recommandé appelé **Detect Whether Encryption is Enabled for Amazon EBS Volumes Attached to Amazon EC2** Instances détecte si un volume Amazon EBS non chiffré est attaché à une instance EC2 dans votre zone de landing zone.
Des contrôles proactifs vérifient si les ressources sont conformes aux politiques et aux objectifs de votre entreprise, avant qu'elles ne soient provisionnées dans vos comptes. Si les ressources ne sont pas conformes, elles ne sont pas provisionnées. Les contrôles proactifs surveillent les ressources qui seraient déployées dans vos comptes au moyen de CloudFormation modèles.
*Pour ceux qui connaissent AWS :* Dans AWS Control Tower, les contrôles préventifs sont mis en œuvre à l'aide de politiques de contrôle des services (SCPs) et de politiques de contrôle des ressources (RCPs). Les contrôles Detective sont mis en œuvre avec AWS Config des règles. Les contrôles proactifs sont mis en œuvre avec CloudFormation des crochets.
## Rubriques connexes
+ [Détectez et corrigez les dérives dans AWS Control Tower](drift.md)
## Comment fonctionne AWS Control Tower avec StackSets
AWS Control Tower utilise AWS Control Tower CloudFormation StackSets pour configurer les ressources de vos comptes, par défaut. Chaque ensemble de piles StackInstances correspond à des comptes et à Régions AWS par compte. AWS Control Tower déploie une instance de stack set par compte et par région.
AWS Control Tower applique des mises à jour à certains comptes de Régions AWS manière sélective, en fonction CloudFormation des paramètres. Lorsque les mises à jour sont appliquées à certaines instances de pile, d'autres instances de pile peuvent être laissées à l'état **Outdated (Obsolète)**. Ce comportement est attendu et normal.
Lorsqu'une instance de pile passe à l'état **Outdated (Obsolète)** cela signifie généralement que la pile correspondant à cette instance de pile n'est pas alignée avec le dernier modèle de l'ensemble de piles. La pile reste dans l'ancien modèle, de sorte qu'elle peut ne pas inclure les dernières ressources ou derniers paramètres. La pile est encore complètement utilisable.
Voici un bref résumé du comportement auquel vous pouvez vous attendre, en fonction des CloudFormation paramètres spécifiés lors d'une mise à jour :
Si la mise à jour de l'ensemble de piles inclut des modifications du modèle (c'est-à-dire si les `TemplateURL` propriétés `TemplateBody` ou sont spécifiées), ou si la `Parameters` propriété est spécifiée, CloudFormation marque toutes les instances de pile avec le statut **Obsolète** avant de mettre à jour les instances de pile dans les comptes spécifiés et Régions AWS. Si la mise à jour de l'ensemble de piles n'inclut aucune modification du modèle ou des paramètres, CloudFormation met à jour les instances de pile dans les comptes et régions spécifiés, tout en conservant le statut d'instance de pile existant pour toutes les autres instances de pile. Pour mettre à jour toutes les instances de pile associées à un jeu de piles, ne spécifiez pas les propriétés `Regions` ou `Accounts`.
Pour plus d'informations, voir [Mettre à jour votre ensemble de piles](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/stacksets-update.html) dans le guide de CloudFormation l'utilisateur.