Informazioni su Account AWS AWS Control Tower - AWS Control Tower
Cosa succede quando AWS Control Tower crea un accountConsiderazioni sull'utilizzo degli account di sicurezza o di registrazione esistenti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Informazioni su Account AWS AWS Control Tower

An Account AWS è il contenitore per tutte le risorse di tua proprietà. Queste risorse includono le identità AWS Identity and Access Management (IAM) accettate dall'account, che determinano chi ha accesso a tale account. Le identità IAM possono includere utenti, gruppi, ruoli e altro ancora. Per ulteriori informazioni su come lavorare con IAM, utenti, ruoli e policy in AWS Control Tower, consulta Gestione delle identità e degli accessi in AWS Control Tower.

Risorse e ora di creazione dell'account

Quando AWS Control Tower crea o registra un account, implementa la configurazione minima delle risorse necessaria per l'account. Ad esempio, può includere risorse sotto forma di modelli Account Factory e altre risorse nella landing zone, come ruoli IAM, AWS CloudTrail percorsi, prodotti forniti di Service Catalog e utenti di IAM Identity Center. AWS Control Tower distribuisce anche risorse, come richiesto dalla configurazione di controllo, per l'unità organizzativa (OU) in cui il nuovo account è destinato a diventare un account membro.

AWS Control Tower orchestra la distribuzione di queste risorse per tuo conto. Potrebbero essere necessari diversi minuti per risorsa per completare la distribuzione, quindi considera il tempo totale prima di creare o registrare un account. Per ulteriori informazioni sulla gestione delle risorse nei tuoi account, consultaLinee guida per la creazione e la modifica delle risorse AWS Control Tower.

Cosa succede quando AWS Control Tower crea un account

I nuovi account in AWS Control Tower vengono creati e quindi forniti da un'interazione tra AWS Control Tower e AWS Service Catalog. AWS Organizations Puoi creare account e registrare account esistenti dalla console AWS Control Tower. Per i passaggi dettagliati per registrare un dispositivo esistente Account AWS utilizzando la console AWS Control Tower, consultaRegistra un account esistente dalla console AWS Control Tower.

Dietro le quinte della creazione dell'account

  1. Puoi avviare la richiesta, ad esempio, dalla pagina AWS Control Tower Account Factory, direttamente dalla AWS Service Catalog console o chiamando l'ProvisionProductAPI Service Catalog.

  2. AWS Service Catalog chiama AWS Control Tower.

  3. AWS Control Tower avvia un flusso di lavoro che, come primo passo, richiama l' AWS Organizations CreateAccountAPI.

  4. Dopo aver AWS Organizations creato l'account, AWS Control Tower completa il processo di provisioning applicando blueprint e controlli.

  5. Service Catalog continua a sondare AWS Control Tower per verificare il completamento del processo di provisioning.

  6. Quando il flusso di lavoro in AWS Control Tower è completo, Service Catalog finalizza lo stato dell'account e informa l'utente (il richiedente) del risultato.

Considerazioni sull'utilizzo degli account di sicurezza o di registrazione esistenti

Prima di accettare un Account AWS account di sicurezza (nome predefinito: Audit) o di registrazione (nome predefinito: archivio log), AWS Control Tower verifica l'account per individuare eventuali risorse in conflitto con i requisiti di AWS Control Tower. Ad esempio, potresti avere un bucket di registrazione con lo stesso nome richiesto da AWS Control Tower. Inoltre, AWS Control Tower verifica che l'account sia in grado di effettuare il provisioning delle risorse, ad esempio assicurando che AWS Security Token Service (AWS STS) sia abilitato, che l'account non sia sospeso e che AWS Control Tower sia autorizzata a fornire risorse all'interno dell'account.

AWS Control Tower non rimuove alcuna risorsa esistente negli account di registrazione e sicurezza forniti. Tuttavia, se scegli di abilitarlo, la regione di negazione del controllo di accesso di AWS Control Tower impedisce l'accesso alle risorse nelle regioni negate.

Sicurezza per i tuoi account

Puoi trovare indicazioni sulle migliori pratiche per proteggere la sicurezza del tuo account di gestione AWS Control Tower e degli account dei membri nella AWS Organizations documentazione.