Il AWSControl TowerExecution ruolo, spiegato

Il ruolo AWSControlTowerExecution deve essere presente in tutti gli account registrati. Consente ad AWS Control Tower di gestire i tuoi account individuali e di riportare informazioni su di essi agli account Audit e Log Archive.

Il AWSControlTowerExecution ruolo può essere aggiunto a un account in diversi modi, come segue:

Per gli account nell'unità organizzativa di sicurezza (a volte chiamati account core), AWS Control Tower crea il ruolo al momento della configurazione iniziale di AWS Control Tower.
Per un account Account Factory creato tramite la console AWS Control Tower, AWS Control Tower crea questo ruolo al momento della creazione dell'account.
Per la registrazione di un singolo account, chiediamo ai clienti di creare manualmente il ruolo e quindi registrare l'account in AWS Control Tower.
Quando si estende la governance a un'unità organizzativa, AWS Control Tower utilizza StackSet- AWSControl TowerExecutionRole per creare il ruolo in tutti gli account di quell'unità organizzativa.

Nota

Quando annulli la registrazione di un account, AWS Control Tower rimuove il AWSControlTowerExecution ruolo, indipendentemente dal fatto che sia stato creato manualmente o dalla stessa AWS Control Tower.

Scopo del ruolo: AWSControlTowerExecution

AWSControlTowerExecutionconsente di creare e registrare account, automaticamente, con script e funzioni Lambda.
AWSControlTowerExecution consente di configurare la registrazione delle organizzazioni, in modo che tutti i registri di ogni account vengano inviati all'account di registrazione.
AWSControlTowerExecutionconsente di registrare un account individuale in AWS Control Tower. Innanzitutto, devi aggiungere il AWSControlTowerExecution ruolo a quell'account. Per istruzioni su come aggiungere il ruolo, consultaAggiungi manualmente il ruolo IAM richiesto a un ruolo esistente Account AWS e registralo.

Come funziona il AWSControlTowerExecution ruolo con OUs:

Il AWSControlTowerExecution ruolo garantisce che i controlli AWS Control Tower selezionati si applichino automaticamente a ogni singolo account, in ogni unità organizzativa, nell'organizzazione e a ogni nuovo account creato in AWS Control Tower. Di conseguenza:

Puoi fornire report di conformità e sicurezza più facilmente, in base alle funzionalità di audit e registrazione incorporate nei controlli di AWS Control Tower.
I team di sicurezza e conformità possono verificare che tutti i requisiti siano soddisfatti e che non si sia verificata alcuna deriva organizzativa.

Per ulteriori informazioni sulla deriva, consulta Rileva e risolvi la deriva in AWS Control Tower.

In sintesi, il ruolo AWSControlTowerExecution e i relativi criteri associati consentono un controllo flessibile della sicurezza e della conformità nell'intera organizzazione. Pertanto, è meno probabile che si verifichino violazioni della sicurezza o del protocollo.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Ruoli e account

Condizioni opzionali per il ruolo, le relazioni di fiducia