Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Informazioni sugli account condivisi
Tre speciali Account AWS sono associati ad AWS Control Tower: l'account di gestione, l'account di audit e l'account di archiviazione dei log. Questi account vengono generalmente definiti account condivisi o talvolta account principali.
-
Puoi selezionare nomi personalizzati per gli account di controllo e di archiviazione dei log durante la configurazione della landing zone. Per informazioni sulla modifica del nome di un account, consulta Modificare esternamente i nomi delle risorse AWS Control Tower.
Puoi anche specificare un account di sicurezza o di registrazione esistente Account AWS come AWS Control Tower durante il processo di configurazione iniziale della landing zone. Questa opzione elimina la necessità per AWS Control Tower di creare nuovi account condivisi. (Questa è una selezione una tantum).
Per ulteriori informazioni sugli account condivisi e sulle risorse associate, consultaRisorse create negli account condivisi.
Gestione dell'account
Questo Account AWS lancia AWS Control Tower. Per impostazione predefinita, l'utente root di questo account e l'utente IAM o l'utente amministratore IAM per questo account hanno accesso completo a tutte le risorse all'interno della landing zone.
Nota
Come best practice, consigliamo di accedere come utente IAM Identity Center con privilegi di amministratore quando esegue funzioni amministrative all'interno della console AWS Control Tower, anziché accedere come utente root o utente amministratore IAM per questo account.
Per ulteriori informazioni sui ruoli e le risorse disponibili nell'account di gestione, consultaRisorse create negli account condivisi.
Account di archiviazione dei log
L'account condiviso dell'archivio dei log viene configurato automaticamente quando crei la landing zone, se non utilizzi specificamente un altro AWS account.
Questo account contiene un bucket Amazon S3 centrale per l'archiviazione di una copia di tutti i file AWS CloudTrail e di AWS Config registro per tutti gli altri account nella tua landing zone. Come best practice, consigliamo di limitare l'accesso agli account di archiviazione dei log ai team responsabili della conformità e delle indagini e ai relativi strumenti di sicurezza o controllo. Questo account può essere utilizzato per controlli di sicurezza automatici o per ospitare funzioni personalizzate Regole di AWS Config, come le funzioni Lambda, per eseguire azioni correttive.
Politica sui bucket Amazon S3
Per la landing zone di AWS Control Tower versione 3.3 e successive, gli account devono soddisfare una aws:SourceOrgID condizione per qualsiasi autorizzazione di scrittura nel bucket Audit. Questa condizione garantisce che CloudTrail solo i log possano scrivere log per conto degli account all'interno dell'organizzazione nel bucket S3; impedisce ai CloudTrail log esterni all'organizzazione di scrivere nel bucket AWS Control Tower S3. Per ulteriori informazioni, consulta Landing zone di AWS Control Tower versione 3.3.
Per ulteriori informazioni sui ruoli e le risorse disponibili nell'account di archiviazione dei log, consulta Registra e archivia le risorse dell'account
Nota
Questi registri non possono essere modificati. Tutti i registri vengono archiviati ai fini delle indagini di controllo e conformità relative all'attività dell'account.
Account di audit
Questo account condiviso viene configurato automaticamente quando crei la landing zone, se non utilizzi specificamente un altro account.
L'account di audit dovrebbe essere riservato ai team di sicurezza e conformità con ruoli trasversali di auditor (sola lettura) e amministratore (accesso completo) a tutti gli account nella landing zone. Questi ruoli sono destinati a essere utilizzati dai team di sicurezza e conformità per:
-
Esegui controlli tramite AWS meccanismi, come l'hosting di funzioni Lambda con AWS Config regole personalizzate.
-
Esegui operazioni di sicurezza automatizzate, come azioni di riparazione.
L'account di controllo riceve anche notifiche tramite il servizio Amazon Simple Notification Service (Amazon SNS). È possibile ricevere tre categorie di notifiche:
-
Tutti gli eventi di configurazione: questo argomento aggrega tutte CloudTrail le AWS Config notifiche provenienti da tutti gli account nella tua landing zone.
-
Notifiche di sicurezza aggregate: questo argomento aggrega tutte le notifiche di sicurezza relative a CloudWatch eventi specifici, eventi di modifica dello stato di Regole di AWS Config conformità e risultati. GuardDuty
-
Notifiche di deriva: questo argomento aggrega tutti gli avvisi di deriva rilevati in tutti gli account OUs, gli utenti e nella tua SCPs landing zone. Per ulteriori informazioni sulla deriva, consulta Rileva e risolvi la deriva in AWS Control Tower.
Le notifiche di controllo attivate all'interno di un account membro possono anche inviare avvisi su un argomento locale di Amazon SNS. Questa funzionalità consente agli amministratori degli account di iscriversi alle notifiche di controllo specifiche per un singolo account membro. Di conseguenza, gli amministratori possono risolvere i problemi che riguardano un singolo account, aggregando comunque tutte le notifiche relative all'account di controllo centralizzato. Per ulteriori informazioni, consulta la Guida per gli sviluppatori di Amazon Simple Notification Service.
Per ulteriori informazioni sui ruoli e le risorse disponibili nell'account di controllo, vedere. Controlla le risorse dell'account
Per ulteriori informazioni sul controllo programmatico, consulta Ruoli programmatici e relazioni di fiducia per l'account di audit AWS Control Tower.
Importante
L'indirizzo e-mail fornito per l'account di audit riceve e-mail di AWS notifica - conferma della sottoscrizione da tutti quelli Regione AWS supportati da AWS Control Tower. Per ricevere e-mail di conformità nel tuo account di audit, devi scegliere il link di conferma dell'iscrizione all'interno di ogni e-mail di ciascuna e-mail Regione AWS supportata da AWS Control Tower.
