Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Apa itu AWS Control Tower?
<a name="what-is-control-tower"></a>

AWS Control Tower menawarkan cara mudah untuk mengatur dan mengatur lingkungan AWS multi-akun, mengikuti praktik terbaik preskriptif. AWS Control Tower *mengatur* kemampuan beberapa [AWS layanan](https://docs.aws.amazon.com//controltower/latest/userguide/integrated-services.html) lain, termasuk,, dan AWS Organizations AWS Service Catalog AWS IAM Identity Center, untuk membangun landing zone dalam waktu kurang dari satu jam. Sumber daya diatur dan dikelola atas nama Anda. 

Orkestrasi AWS Control Tower memperluas kemampuan. AWS Organizations Untuk membantu menjaga organisasi dan akun Anda dari *penyimpangan*, yang merupakan perbedaan dari praktik terbaik, AWS Control Tower menerapkan kontrol (terkadang disebut *pagar pembatas*). Misalnya, Anda dapat menggunakan kontrol untuk membantu memastikan bahwa log keamanan dan izin akses lintas akun yang diperlukan dibuat, dan tidak diubah.

Jika Anda menghosting lebih dari segelintir akun, ada baiknya memiliki lapisan orkestrasi yang memfasilitasi penyebaran akun dan tata kelola akun. Anda dapat mengadopsi AWS Control Tower sebagai cara utama Anda untuk menyediakan akun dan infrastruktur. Dengan AWS Control Tower, Anda dapat lebih mudah mematuhi standar perusahaan, memenuhi persyaratan peraturan, dan mengikuti praktik terbaik.

AWS Control Tower memungkinkan pengguna akhir di tim terdistribusi Anda untuk menyediakan AWS akun baru dengan cepat, melalui templat akun yang dapat dikonfigurasi di Account Factory. Sementara itu, administrator cloud pusat Anda dapat memantau bahwa semua akun selaras dengan kebijakan kepatuhan yang ditetapkan di seluruh perusahaan.

Singkatnya, AWS Control Tower menawarkan cara termudah untuk mengatur dan mengatur AWS lingkungan multi-akun yang aman, sesuai, berdasarkan praktik terbaik yang dibuat dengan bekerja sama dengan ribuan perusahaan. Untuk informasi selengkapnya tentang bekerja dengan AWS Control Tower dan praktik terbaik yang diuraikan dalam strategi AWS multi-akun, lihat. [AWS strategi multi-akun: Panduan praktik terbaik](aws-multi-account-landing-zone.md#multi-account-guidance)

## Fitur
<a name="features"></a>

AWS Control Tower memiliki beberapa fitur berikut:
+ **Landing zone** — Landing zone adalah [lingkungan multi-akun](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/appendix-e-establish-multi-account.html#example-workloads-flat-structure) yang dirancang dengan baik yang didasarkan pada praktik terbaik keamanan dan kepatuhan. Ini adalah wadah di seluruh perusahaan yang menampung semua unit organisasi (OUs), akun, pengguna, dan sumber daya lainnya yang Anda inginkan untuk tunduk pada peraturan kepatuhan. Sebuah landing zone dapat disesuaikan dengan kebutuhan perusahaan dari berbagai ukuran.
+ **Kontrol** (kadang-kadang disebut *pagar pembatas*) adalah aturan tingkat tinggi yang menyediakan tata kelola berkelanjutan untuk lingkungan Anda secara keseluruhan. AWS Hal ini diungkapkan dalam bahasa yang sederhana. Ada tiga jenis kontrol: *preventif*, *detektif*, dan *proaktif*. Tiga kategori panduan berlaku untuk kontrol: *wajib*, *sangat direkomendasikan*, atau *elektif*. Untuk informasi selengkapnya tentang kontrol, lihat[Bagaimana kontrol bekerja](how-controls-work.md).
+ **Account Factory** - Account Factory adalah templat akun yang dapat dikonfigurasi yang membantu membakukan penyediaan akun baru dengan konfigurasi akun yang telah disetujui sebelumnya. AWS Control Tower menawarkan Account Factory bawaan yang membantu mengotomatiskan alur kerja penyediaan akun di organisasi Anda. Untuk informasi selengkapnya, lihat [Menyediakan dan mengelola akun dengan Account Factory](account-factory.md).
+ **Dasbor** — Dasbor menawarkan pengawasan berkelanjutan dari landing zone Anda ke tim administrator cloud pusat Anda. Gunakan dasbor untuk melihat akun yang disediakan di seluruh perusahaan Anda, kontrol diaktifkan untuk penegakan kebijakan, kontrol yang diaktifkan untuk deteksi berkelanjutan atas ketidaksesuaian kebijakan, dan sumber daya yang tidak sesuai yang diatur oleh akun dan. OUs

## Bagaimana AWS Control Tower berinteraksi dengan layanan lain AWS
<a name="related-services"></a>

AWS Control Tower dibangun di atas AWS layanan tepercaya dan andal termasuk AWS Service Catalog, AWS IAM Identity Center, dan AWS Organizations. Untuk informasi selengkapnya, lihat [Layanan terintegrasi](integrated-services.md).

Anda dapat menggabungkan AWS Control Tower dengan AWS layanan lain ke dalam solusi yang membantu Anda memigrasikan beban kerja yang ada. AWS Untuk informasi selengkapnya, lihat [Cara memanfaatkan AWS Control Tower dan memigrasikan beban kerja CloudEndure ke](https://aws.amazon.com//blogs/mt/how-to-take-advantage-of-aws-control-tower-and-cloudendure-to-migrate-workloads-to-aws/). AWS

**Konfigurasi, Tata Kelola, dan Ekstensibilitas**
+ *Konfigurasi akun otomatis:* AWS Control Tower mengotomatiskan penerapan dan pendaftaran akun melalui Account Factory (atau “mesin penjual otomatis”), yang dibangun sebagai abstraksi di atas produk yang disediakan di. AWS Service Catalog Account Factory dapat membuat dan mendaftarkan AWS akun, dan mengotomatiskan proses penerapan kontrol dan kebijakan ke akun tersebut. Untuk informasi selengkapnya tentang membuat dan menyediakan akun, lihat [Metode penyediaan.](https://docs.aws.amazon.com//controltower/latest/userguide/methods-of-provisioning.html)
+ *Tata kelola terpusat:* Dengan menggunakan kapabilitas AWS Organizations, AWS Control Tower menyiapkan kerangka kerja yang memastikan kepatuhan dan tata kelola yang konsisten di seluruh lingkungan multi-akun Anda. AWS Organizations Layanan ini menyediakan kemampuan penting untuk mengelola lingkungan multi-akun, termasuk tata kelola pusat dan pengelolaan akun, pembuatan akun dari AWS Organizations APIs, kebijakan kontrol layanan (SCPs), dan kebijakan kontrol sumber daya (RCPs). 

  
+ *Ekstensibilitas:* Anda dapat membangun atau memperluas lingkungan AWS Control Tower Anda sendiri dengan bekerja langsung di AWS Organizations, serta di konsol AWS Control Tower. Anda dapat melihat perubahan yang tercermin di AWS Control Tower setelah mendaftarkan organisasi yang ada dan mendaftarkan akun yang ada ke AWS Control Tower. Anda dapat memperbarui landing zone AWS Control Tower untuk mencerminkan perubahan Anda. Jika beban kerja Anda memerlukan kemampuan lanjutan lebih lanjut, Anda dapat memanfaatkan solusi AWS mitra lainnya bersama AWS Control Tower. 

  

## Apakah Anda Pengguna Pertama Kali AWS Control Tower?
<a name="first-time-user"></a>

Jika Anda adalah pengguna pertama kali layanan ini, kami sarankan Anda membaca yang berikut ini:

1. Jika Anda memerlukan informasi lebih lanjut tentang cara merencanakan dan mengatur landing zone Anda, lihat [Rencanakan landing zone AWS Control Tower](planning-your-deployment.md) dan[AWS strategi multi-akun untuk landing zone AWS Control Tower](aws-multi-account-landing-zone.md).

1. Jika Anda siap untuk membuat landing zone pertama Anda, lihat[Memulai AWS Control Tower](getting-started-with-control-tower.md).

1. Untuk informasi tentang deteksi dan pencegahan drift, lihat[Mendeteksi dan mengatasi penyimpangan di AWS Control Tower](drift.md).

1. Untuk detail keamanan, lihat[Keamanan di AWS Control Tower](security.md).

1. Untuk informasi tentang memperbarui landing zone dan akun anggota, lihat[Manajemen pembaruan konfigurasi di AWS Control Tower](configuration-updates.md).

# Cara kerja AWS Control Tower
<a name="how-control-tower-works"></a>

Bagian ini menjelaskan pada tingkat tinggi cara kerja AWS Control Tower. Landing zone Anda adalah lingkungan multi-akun yang dirancang dengan baik untuk semua sumber daya Anda. AWS Anda dapat menggunakan lingkungan ini untuk menegakkan peraturan kepatuhan pada semua AWS akun Anda.

## Struktur AWS Control Tower Landing Zone
<a name="landing-zone-structure"></a>

Struktur landing zone di AWS Control Tower adalah sebagai berikut:
+ **Root** — Induk yang berisi semua yang lain OUs di landing zone Anda. 
+ **Keamanan OU** - OU ini berisi Arsip Log dan akun Audit. Akun-akun ini sering disebut sebagai *akun bersama*. Saat meluncurkan landing zone, Anda dapat memilih nama yang disesuaikan untuk akun bersama ini, dan Anda memiliki opsi untuk membawa AWS akun yang ada ke AWS Control Tower untuk keamanan dan pencatatan log. Namun, ini tidak dapat diganti namanya nanti, dan akun yang ada tidak dapat ditambahkan untuk keamanan dan pencatatan setelah peluncuran awal.
+ **Sandbox OU** - Sandbox OU dibuat saat Anda meluncurkan landing zone Anda, jika Anda mengaktifkannya. Ini dan akun terdaftar lainnya OUs berisi akun terdaftar yang digunakan pengguna Anda untuk melakukan beban AWS kerja mereka.
+ **Direktori IAM Identity Center** — Secara default, direktori ini menampung pengguna IAM Identity Center Anda. Ini mendefinisikan ruang lingkup izin untuk setiap pengguna IAM Identity Center. Secara opsional, Anda dapat memilih untuk mengelola sendiri identitas dan kontrol akses Anda. Untuk informasi selengkapnya, lihat [Bekerja dengan AWS IAM Identity Center dan AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/sso.html).
+ **Pengguna IAM Identity Center** — Ini adalah identitas yang dapat diasumsikan pengguna Anda untuk melakukan AWS beban kerja mereka di landing zone Anda.

## Apa yang terjadi ketika Anda mengatur landing zone
<a name="how-it-works-setup"></a>

Saat Anda menyiapkan landing zone, AWS Control Tower melakukan tindakan berikut di akun manajemen Anda atas nama Anda:
+ Menciptakan dua unit AWS Organizations organisasi (OUs): Keamanan, dan Sandbox (opsional), yang terkandung dalam struktur akar organisasi.
+ Membuat atau menambahkan dua akun bersama di OU Keamanan: akun Arsip Log dan akun Audit.
+ Membuat direktori cloud-native di IAM Identity Center, dengan grup yang telah dikonfigurasi sebelumnya dan akses masuk tunggal, jika Anda memilih konfigurasi AWS Control Tower default, atau memungkinkan Anda mengelola sendiri penyedia identitas Anda.
+ Menerapkan semua kontrol preventif wajib untuk menegakkan kebijakan.
+ Menerapkan semua kontrol detektif wajib untuk mendeteksi pelanggaran konfigurasi.
+ *Kontrol preventif tidak diterapkan ke akun manajemen.*
+ Kecuali untuk akun manajemen, kontrol diterapkan pada organisasi secara keseluruhan.

**Mengelola Sumber Daya dengan Aman dalam Zona Pendaratan AWS Control Tower dan Akun Anda**
+ Saat Anda membuat landing zone, sejumlah AWS sumber daya dibuat. Untuk menggunakan AWS Control Tower, Anda tidak boleh mengubah atau menghapus sumber daya yang dikelola AWS Control Tower ini di luar metode yang didukung yang dijelaskan dalam panduan ini. Menghapus atau memodifikasi sumber daya ini akan menyebabkan landing zone Anda memasuki status yang tidak diketahui. Untuk detailnya, lihat [Panduan untuk membuat dan memodifikasi sumber daya AWS Control Tower](getting-started-guidance.md)
+ Saat Anda mengaktifkan kontrol opsional (yang memiliki panduan yang *sangat direkomendasikan atau elektif*), AWS Control Tower membuat AWS sumber daya yang dikelola di akun Anda. Jangan mengubah atau menghapus sumber daya yang dibuat oleh AWS Control Tower. Melakukannya dapat mengakibatkan kontrol memasuki status yang tidak diketahui. 

# Apa saja akun bersama?
<a name="what-shared"></a>

Di AWS Control Tower, akun bersama di landing zone Anda disediakan selama penyiapan: akun manajemen, akun arsip log, dan akun audit.

## Apa akun manajemennya?
<a name="what-is-mgmt"></a>

Ini adalah akun yang Anda buat khusus untuk landing zone Anda. Akun ini digunakan untuk penagihan untuk semua yang ada di landing zone Anda. Ini juga digunakan untuk penyediaan akun Account Factory, serta untuk mengelola OUs dan mengontrol.

**catatan**  
Tidak disarankan untuk menjalankan semua jenis beban kerja produksi dari akun manajemen AWS Control Tower. Buat akun AWS Control Tower terpisah untuk menjalankan beban kerja Anda. 

Untuk informasi selengkapnya, lihat [Akun manajemen](special-accounts.md#mgmt-account).

## Apa itu akun arsip log?
<a name="what-is-log-archive"></a>

Akun ini berfungsi sebagai repositori untuk log aktivitas API dan konfigurasi sumber daya dari semua akun di landing zone.

Untuk informasi selengkapnya, lihat [Akun arsip log](special-accounts.md#log-archive-account).

## Apa itu akun audit?
<a name="what-is-audit"></a>

Akun audit adalah akun terbatas yang dirancang untuk memberi tim keamanan dan kepatuhan Anda membaca dan menulis akses ke semua akun di landing zone Anda. Dari akun audit, Anda memiliki akses terprogram untuk meninjau akun, melalui peran yang diberikan kepada fungsi Lambda saja. Akun audit tidak memungkinkan Anda untuk masuk ke akun lain secara manual. Untuk informasi selengkapnya tentang fungsi dan peran Lambda, lihat [Mengonfigurasi fungsi Lambda untuk mengambil peran dari yang lain](https://aws.amazon.com/premiumsupport/knowledge-center/lambda-function-assume-iam-role). Akun AWS

Untuk informasi selengkapnya, lihat [Akun audit](special-accounts.md#audit-account).

# Bagaimana kontrol bekerja
<a name="how-controls-work"></a>

Kontrol adalah aturan tingkat tinggi yang menyediakan tata kelola berkelanjutan untuk lingkungan Anda secara keseluruhan AWS . Setiap kontrol memberlakukan satu aturan, dan itu diekspresikan dalam bahasa sederhana. Anda dapat mengubah kontrol elektif atau sangat disarankan yang berlaku, kapan saja, dari konsol AWS Control Tower atau AWS Control Tower APIs. Kontrol wajib selalu diterapkan, dan tidak dapat diubah.

Kontrol preventif mencegah tindakan terjadi. Misalnya, kontrol elektif yang disebut **Disallow Changes to Bucket Policy for Amazon S3** Bucket (Sebelumnya **disebut Disallow Policy Changes to Log Archive) mencegah perubahan kebijakan IAM dalam akun bersama arsip log**. Setiap upaya untuk melakukan tindakan yang dicegah ditolak dan masuk CloudTrail. Sumber daya juga masuk AWS Config.

Kontrol Detektif mendeteksi peristiwa tertentu ketika terjadi dan mencatat tindakan. CloudTrail Misalnya, kontrol yang sangat disarankan yang disebut **Deteksi Apakah Enkripsi Diaktifkan untuk Volume Amazon EBS yang Dilampirkan ke Instans Amazon EC2 mendeteksi apakah volume** Amazon EBS yang tidak terenkripsi dilampirkan ke instans EC2 di landing zone Anda.

Kontrol proaktif memeriksa apakah sumber daya sesuai dengan kebijakan dan tujuan perusahaan Anda, sebelum sumber daya disediakan di akun Anda. Jika sumber daya di luar kepatuhan, mereka tidak disediakan. Kontrol proaktif memantau sumber daya yang akan digunakan di akun Anda melalui templat. CloudFormation 

*Bagi mereka yang akrab dengan AWS:* Di AWS Control Tower, kontrol preventif diimplementasikan dengan kebijakan kontrol layanan (SCPs) dan kebijakan kontrol sumber daya (RCPs). Kontrol detektif diimplementasikan dengan AWS Config aturan. Kontrol proaktif diimplementasikan dengan CloudFormation kait.

## Topik Terkait
<a name="how-controls-related"></a>
+ [Mendeteksi dan mengatasi penyimpangan di AWS Control Tower](drift.md)

## Cara AWS Control Tower bekerja dengan StackSets
<a name="stacksets-how"></a>



AWS Control Tower digunakan CloudFormation StackSets untuk menyiapkan sumber daya di akun Anda, secara default. Setiap set tumpukan memiliki StackInstances yang sesuai dengan akun, dan untuk Wilayah AWS per akun. AWS Control Tower menerapkan satu instans set tumpukan per akun dan Wilayah.

AWS Control Tower menerapkan pembaruan ke akun tertentu dan Wilayah AWS secara selektif, berdasarkan CloudFormation parameter. Ketika pembaruan diterapkan ke beberapa instance tumpukan, instance tumpukan lainnya mungkin dibiarkan dalam status **usang**. Perilaku ini diharapkan dan normal.

Ketika instance stack masuk ke status **Outdated**, biasanya berarti bahwa tumpukan yang sesuai dengan instance tumpukan itu tidak selaras dengan template terbaru dalam kumpulan tumpukan. Tumpukan tetap berada di template yang lebih lama, jadi mungkin tidak menyertakan sumber daya atau parameter terbaru. Tumpukan masih sepenuhnya dapat digunakan.

 Berikut ringkasan singkat tentang perilaku apa yang diharapkan, berdasarkan CloudFormation parameter yang ditentukan selama pembaruan:

Jika pembaruan set tumpukan menyertakan perubahan pada templat (yaitu, jika `TemplateURL` properti `TemplateBody` atau ditentukan), atau jika `Parameters` properti ditentukan, CloudFormation tandai semua instance tumpukan dengan status **Usang** sebelum memperbarui instance tumpukan di akun yang ditentukan dan. Wilayah AWS Jika pembaruan set tumpukan tidak menyertakan perubahan pada templat atau parameter, CloudFormation perbarui instance tumpukan di akun dan Wilayah yang ditentukan, sambil meninggalkan semua instance tumpukan lainnya dengan status instance tumpukan yang ada. Untuk memperbarui semua instance tumpukan yang terkait dengan kumpulan tumpukan, jangan tentukan `Regions` properti `Accounts` atau.

Untuk informasi selengkapnya, lihat [Memperbarui Set Stack Anda](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/stacksets-update.html) di Panduan CloudFormation Pengguna.