Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Cos'è AWS Control Tower?
AWS Control Tower offre un modo semplice per configurare e gestire un ambiente AWS multi-account, seguendo le best practice prescrittive. AWS Control Tower *orchestra* le funzionalità di diversi altri [AWS servizi](https://docs.aws.amazon.com//controltower/latest/userguide/integrated-services.html), tra cui AWS Organizations AWS Service Catalog, e AWS IAM Identity Center, per costruire una landing zone in meno di un'ora. Le risorse vengono configurate e gestite per tuo conto.
L'orchestrazione di AWS Control Tower estende le funzionalità di. AWS Organizations Per evitare che le tue organizzazioni e i tuoi account *cambino,* ossia divergenza dalle best practice, AWS Control Tower applica dei controlli (a volte chiamati *guardrail*). Ad esempio, puoi utilizzare i controlli per garantire che i log di sicurezza e le necessarie autorizzazioni di accesso tra account vengano creati e non modificati.
Se gestisci più di una manciata di account, è utile disporre di un livello di orchestrazione che faciliti la distribuzione e la governance degli account. Puoi adottare AWS Control Tower come metodo principale per effettuare il provisioning di account e infrastrutture. Con AWS Control Tower, puoi aderire più facilmente agli standard aziendali, soddisfare i requisiti normativi e seguire le best practice.
AWS Control Tower consente agli utenti finali dei team distribuiti di fornire nuovi AWS account rapidamente, tramite modelli di account configurabili in Account Factory. Nel frattempo, gli amministratori cloud centrali possono monitorare che tutti gli account siano allineati alle politiche di conformità stabilite a livello aziendale.
In breve, AWS Control Tower offre il modo più semplice per configurare e gestire un AWS ambiente sicuro, conforme e multi-account basato sulle best practice stabilite collaborando con migliaia di aziende. Per ulteriori informazioni sull'utilizzo di AWS Control Tower e sulle best practice delineate nella strategia AWS multi-account, consulta. [AWS strategia multi-account: linee guida sulle migliori pratiche](aws-multi-account-landing-zone.md#multi-account-guidance)
## Funzionalità
AWS Control Tower ha le seguenti caratteristiche:
+ **Zona di atterraggio**: una landing zone è un [ambiente multi-account](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/appendix-e-establish-multi-account.html#example-workloads-flat-structure) ben progettato, basato sulle migliori pratiche di sicurezza e conformità. È il contenitore a livello aziendale che contiene tutte le unità organizzative (OUs), gli account, gli utenti e le altre risorse che desideri siano soggette alle normative di conformità. Una landing zone può essere ridimensionata per soddisfare le esigenze di un'azienda di qualsiasi dimensione.
+ **Controlli**: un controllo (a volte chiamato *guardrail*) è una regola di alto livello che fornisce una governance continua per l'intero ambiente. AWS È espresso in linguaggio normale. *Esistono tre tipi di controlli: *preventivo*, *investigativo* e proattivo.* Ai controlli si applicano tre categorie di linee guida: *obbligatorie*, *fortemente raccomandate* o *facoltative*. Per ulteriori informazioni sui controlli, vedere[Come funzionano i controlli](how-controls-work.md).
+ **Account Factory**: un Account Factory è un modello di account configurabile che aiuta a standardizzare la fornitura di nuovi account con configurazioni di account preapprovate. AWS Control Tower offre un Account Factory integrato che aiuta ad automatizzare il flusso di lavoro di provisioning degli account nell'organizzazione. Per ulteriori informazioni, consulta [Fornitura e gestione degli account con Account Factory](account-factory.md).
+ **Dashboard**: la dashboard offre una supervisione continua della landing zone al team di amministratori cloud centrali. Utilizza la dashboard per visualizzare gli account assegnati in tutta l'azienda, i controlli abilitati per l'applicazione delle policy, i controlli abilitati per il rilevamento continuo della non conformità delle policy e le risorse non conformi organizzate per account e. OUs
## In che modo AWS Control Tower interagisce con altri servizi AWS
AWS Control Tower si basa su AWS servizi affidabili e affidabili AWS Service Catalog, tra cui AWS IAM Identity Center, e AWS Organizations. Per ulteriori informazioni, consulta [Servizi integrati](integrated-services.md).
Puoi incorporare AWS Control Tower con altri AWS servizi in una soluzione che ti aiuti a migrare i carichi di lavoro esistenti verso. AWS Per ulteriori informazioni, consulta [Come sfruttare AWS Control Tower e CloudEndure migrare i carichi di lavoro](https://aws.amazon.com//blogs/mt/how-to-take-advantage-of-aws-control-tower-and-cloudendure-to-migrate-workloads-to-aws/) verso. AWS
**Configurazione, governance ed estensibilità**
+ *Configurazione automatica degli account:* AWS Control Tower automatizza la distribuzione e la registrazione degli account tramite un Account Factory (o «distributore automatico»), che è costruito come un'astrazione sulla base dei prodotti forniti in. AWS Service Catalog Account Factory può creare e registrare AWS account e automatizza il processo di applicazione di controlli e politiche a tali account. Per ulteriori informazioni sulla creazione e il provisioning degli account, vedere [Metodi](https://docs.aws.amazon.com//controltower/latest/userguide/methods-of-provisioning.html) di approvvigionamento.
+ *Governance centralizzata:* utilizzando le funzionalità di AWS Organizations, AWS Control Tower configura un framework che garantisce conformità e governance coerenti in tutto l'ambiente multi-account. Il AWS Organizations servizio fornisce funzionalità essenziali per la gestione di un ambiente multi-account, tra cui governance e gestione centralizzate degli account, creazione di account, politiche di AWS Organizations APIs controllo dei servizi (SCPs) e politiche di controllo delle risorse (). RCPs
+ *Estensibilità:* puoi creare o estendere il tuo ambiente AWS Control Tower lavorando direttamente all'interno AWS Organizations e nella console AWS Control Tower. Puoi vedere le tue modifiche riflesse in AWS Control Tower dopo aver registrato le tue organizzazioni esistenti e registrato i tuoi account esistenti in AWS Control Tower. Puoi aggiornare la landing zone di AWS Control Tower in base alle modifiche. Se i tuoi carichi di lavoro richiedono ulteriori funzionalità avanzate, puoi sfruttare altre soluzioni AWS partner oltre ad AWS Control Tower.
## Sei un utente per la prima volta di AWS Control Tower?
Se è la prima volta che utilizzi questo servizio, ti consigliamo di leggere le informazioni seguenti:
1. Se hai bisogno di maggiori informazioni su come pianificare e organizzare la tua landing zone, consulta [Pianifica la tua landing zone di AWS Control Tower](planning-your-deployment.md) e[AWS strategia multi-account per la tua landing zone di AWS Control Tower](aws-multi-account-landing-zone.md).
1. Se sei pronto per creare la tua prima landing zone, consulta [Guida introduttiva a AWS Control Tower](getting-started-with-control-tower.md).
1. Per informazioni sul rilevamento e la prevenzione della deviazione, consulta [Rileva e risolvi la deriva in AWS Control Tower](drift.md).
1. Per informazioni dettagliate sulla sicurezza, consulta [Sicurezza in AWS Control Tower](security.md).
1. Per informazioni sull'aggiornamento delle landing zone e degli account dei membri, consulta[Gestione degli aggiornamenti di configurazione in AWS Control Tower](configuration-updates.md).
# Come funziona AWS Control Tower
Questa sezione descrive in modo approfondito come funziona AWS Control Tower. La tua landing zone è un ambiente multi-account ben progettato per tutte le tue risorse. AWS Puoi utilizzare questo ambiente per applicare le normative di conformità su tutti i tuoi account. AWS
## Struttura di una zona di atterraggio di AWS Control Tower
La struttura di una landing zone in AWS Control Tower è la seguente:
+ **Root**: il genitore che contiene tutti gli altri elementi OUs nella tua landing zone.
+ **Security OU**: questa unità organizzativa contiene gli account Log Archive e Audit. Questi account vengono spesso definiti *account condivisi*. Quando avvii la tua landing zone, puoi scegliere nomi personalizzati per questi account condivisi e hai la possibilità di trasferire gli AWS account esistenti in AWS Control Tower per motivi di sicurezza e registrazione. Tuttavia, questi non possono essere rinominati in un secondo momento e gli account esistenti non possono essere aggiunti per motivi di sicurezza e registrazione dopo il lancio iniziale.
+ **Sandbox OU**: l'OU Sandbox viene creata all'avvio della landing zone, se la abiliti. Questo e altri account registrati OUs contengono gli account registrati con cui gli utenti lavorano per eseguire i loro carichi di lavoro. AWS
+ **Directory IAM Identity Center**: per impostazione predefinita, questa directory ospita gli utenti di IAM Identity Center. Definisce l'ambito delle autorizzazioni per ogni utente IAM Identity Center. Facoltativamente, puoi scegliere di gestire automaticamente la tua identità e il controllo degli accessi. Per ulteriori informazioni, consulta [Working with AWS IAM Identity Center e AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/sso.html).
+ **Utenti IAM Identity Center**: queste sono le identità che i tuoi utenti possono assumere per eseguire i loro AWS carichi di lavoro nella tua landing zone.
## Cosa succede quando configuri una landing zone
Quando configuri una landing zone, AWS Control Tower esegue le seguenti azioni nel tuo account di gestione per tuo conto:
+ Crea due unità AWS Organizations organizzative (OUs): Security e Sandbox (opzionale), contenute nella struttura principale dell'organizzazione.
+ Crea o aggiunge due account condivisi nell'unità organizzativa di sicurezza: l'account Log Archive e l'account Audit.
+ Crea una directory nativa per il cloud in IAM Identity Center, con gruppi preconfigurati e accesso Single Sign-On, se scegli la configurazione AWS Control Tower predefinita o ti consente di gestire autonomamente il tuo provider di identità.
+ Applica tutti i controlli preventivi obbligatori per far rispettare le politiche.
+ Applica tutti i controlli obbligatori e investigativi per rilevare le violazioni della configurazione.
+ *I controlli preventivi non vengono applicati all'account di gestione.*
+ Ad eccezione dell'account di gestione, i controlli vengono applicati all'intera organizzazione.
**Gestione sicura delle risorse all'interno della zona di destinazione e degli account AWS Control Tower**
+ Quando crei la landing zone, vengono create diverse AWS risorse. Per utilizzare AWS Control Tower, non devi modificare o eliminare queste risorse gestite da AWS Control Tower al di fuori dei metodi supportati descritti in questa guida. L'eliminazione o la modifica di queste risorse farà sì che la tua landing zone entri in uno stato sconosciuto. Per maggiori dettagli, consultare [Linee guida per la creazione e la modifica delle risorse AWS Control Tower](getting-started-guidance.md).
+ Quando abiliti i controlli opzionali (quelli con linee guida *fortemente consigliate o facoltative*), AWS Control Tower crea AWS risorse che gestisce nei tuoi account. Non modificare o eliminare risorse create da AWS Control Tower. Ciò può far sì che i controlli entrino in uno stato sconosciuto.
# Cosa sono gli account condivisi?
In AWS Control Tower, gli account condivisi nella landing zone vengono forniti durante la configurazione: l'account di gestione, l'account di archiviazione dei log e l'account di audit.
## Cos'è l'account di gestione?
Questo è l'account che hai creato appositamente per la tua landing zone. Questo account viene utilizzato per la fatturazione di tutto ciò che si trova nella tua landing zone. Viene anche utilizzato per la fornitura di account da parte di Account Factory, nonché per la gestione OUs e i controlli.
**Nota**
Non è consigliabile eseguire alcun tipo di carico di lavoro di produzione da un account di gestione AWS Control Tower. Crea un account AWS Control Tower separato per eseguire i tuoi carichi di lavoro.
Per ulteriori informazioni, consulta [Gestione dell'account](special-accounts.md#mgmt-account).
## Cos'è l'account di archiviazione dei log?
Questo account funge da archivio per i registri delle attività delle API e delle configurazioni delle risorse di tutti gli account nella landing zone.
Per ulteriori informazioni, consulta [Account di archiviazione dei log](special-accounts.md#log-archive-account).
## Cos'è l'account di controllo?
L'account di controllo è un account con restrizioni progettato per consentire ai team di sicurezza e conformità l'accesso in lettura e scrittura a tutti gli account nella landing zone. L'account di audit fornisce l'accesso programmatico per la revisione degli account mediante un ruolo concesso solo alle funzioni Lambda. L'account di audit non consente di accedere manualmente ad altri account. Per ulteriori informazioni sulle funzioni e i ruoli Lambda, consulta [Configurare una funzione Lambda per assumere un ruolo da un'](https://aws.amazon.com/premiumsupport/knowledge-center/lambda-function-assume-iam-role)altra. Account AWS
Per ulteriori informazioni, consulta [Account di audit](special-accounts.md#audit-account).
# Come funzionano i controlli
Il controllo è una regola di alto livello che fornisce una governance continua per l'intero AWS ambiente. Ogni controllo applica una singola regola ed è espressa in un linguaggio semplice. Puoi modificare i controlli opzionali o fortemente consigliati in vigore, in qualsiasi momento, dalla console AWS Control Tower o dalla AWS Control Tower APIs. I controlli obbligatori vengono sempre applicati e non possono essere modificati.
I controlli preventivi impediscono il verificarsi di azioni. Ad esempio, il controllo elettivo denominato **Disallow Changes to Bucket Policy per Amazon S3 Buckets** (precedentemente chiamato **Disallow Policy Changes to Log Archive) impedisce qualsiasi modifica alla policy IAM all'interno dell'account condiviso dell'archivio di log**. Gli eventuali tentativi di esecuzione di un'operazione non consentita vengono rifiutati e registrati in CloudTrail. Anche la risorsa è connessa. AWS Config
I controlli Detective rilevano eventi specifici quando si verificano e registrano l'azioneCloudTrail. Ad esempio, il controllo fortemente consigliato chiamato **Detect Whether Encryption is Enabled for Amazon EBS Volumes Attached to Amazon EC2** Instances rileva se un volume Amazon EBS non crittografato è collegato a un'istanza EC2 nella tua landing zone.
I controlli proattivi verificano se le risorse sono conformi alle politiche e agli obiettivi aziendali, prima che le risorse vengano assegnate ai vostri account. Se le risorse non sono conformi, non vengono fornite. I controlli proattivi monitorano le risorse che verrebbero distribuite nei tuoi account tramite modelli. CloudFormation
*Per chi conosce AWS:* In AWS Control Tower i controlli preventivi sono implementati con policy di controllo dei servizi (SCPs) e policy di controllo delle risorse (RCPs). I controlli investigativi sono implementati con AWS Config delle regole. I controlli proattivi sono implementati con CloudFormation ganci.
## Argomenti correlati
+ [Rileva e risolvi la deriva in AWS Control Tower](drift.md)
## Come funziona AWS Control Tower con StackSets
CloudFormation StackSets Per impostazione predefinita, AWS Control Tower utilizza per configurare le risorse nei tuoi account. Ogni set di stack StackInstances corrisponde agli account e ai singoli Regioni AWS account. AWS Control Tower distribuisce un'istanza di stack set per account e regione.
AWS Control Tower applica gli aggiornamenti a determinati account e Regioni AWS in modo selettivo, in base a CloudFormation parametri. Quando gli aggiornamenti vengono applicati ad alcune istanze dello stack, altre istanze dello stack potrebbero essere lasciate in stato **Outdated (Obsoleto)**. Questo comportamento è previsto e normale.
Quando un'istanza dello stack entra nello stato **Outdated (Obsoleto)** in genere significa che lo stack corrispondente a quell'istanza non è allineato con il modello più recente nel set di stack. Lo stack rimane nel modello precedente, quindi potrebbe non includere le risorse o i parametri più recenti. Lo stack è comunque completamente utilizzabile.
Ecco un breve riepilogo del comportamento da aspettarsi, in base ai CloudFormation parametri specificati durante un aggiornamento:
Se l'aggiornamento del set di stack include modifiche al modello (ovvero, se sono specificate `TemplateURL` le proprietà `TemplateBody` o) o se la `Parameters` proprietà è specificata, CloudFormation contrassegna tutte le istanze dello stack con lo stato **Obsoleto** prima di aggiornare le istanze dello stack negli account specificati e. Regioni AWS Se l'aggiornamento del set di stack non include modifiche al modello o ai parametri, CloudFormation aggiorna le istanze dello stack negli account e nelle regioni specificati, lasciando a tutte le altre istanze dello stack lo stato di istanza dello stack esistente. Per aggiornare tutte le istanze dello stack associate a un set di stack, non specificare le proprietà `Regions` o `Accounts`.
Per ulteriori informazioni, consulta [Update Your Stack Set nella Guida per l'utente](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/stacksets-update.html). CloudFormation