As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Sobre Contas da AWS na AWS Control Tower
An Conta da AWS é o contêiner para todos os seus recursos próprios. Esses recursos incluem as identidades AWS Identity and Access Management (IAM) aceitas pela conta, que determinam quem tem acesso a essa conta. As identidades do IAM podem incluir usuários, grupos, perfis e muito mais. Consulte mais informações sobre como trabalhar com perfis, políticas e usuários do IAM no AWS Control Tower em Identity and access management in AWS Control Tower.
Recursos e tempo de criação da conta
Quando o AWS Control Tower cria ou inscreve uma conta, ele implanta a configuração mínima necessária de recursos para a conta. Por exemplo, pode incluir recursos na forma de modelos do Account Factory e outros recursos em sua landing zone, como funções do IAM, AWS CloudTrail trilhas, produtos provisionados pelo Service Catalog e usuários do IAM Identity Center. O AWS Control Tower também implanta recursos, conforme exigido pela configuração de controle, para a unidade organizacional (UO) na qual a nova conta está destinada a se tornar uma conta-membro.
O AWS Control Tower orquestra a implantação desses recursos em seu nome. Pode ser necessário vários minutos por recurso para concluir a implantação, portanto, considere o tempo total antes de criar ou inscrever uma conta. Consulte mais informações sobre como gerenciar recursos nas contas em Orientações para criar e modificar recursos do AWS Control Tower.
O que acontece quando o AWS Control Tower cria uma conta
Novas contas na AWS Control Tower são criadas e, em seguida, provisionadas por uma interação entre a AWS Control Tower AWS Organizations, e. AWS Service Catalog Você pode criar contas e inscrever contas existentes pelo console do AWS Control Tower. Para obter etapas detalhadas para inscrever um existente Conta da AWS usando o console do AWS Control Tower, consulteInscrever uma conta existente pelo console do AWS Control Tower.
Nos bastidores da criação de contas
-
Você inicia a solicitação, por exemplo, na página AWS Control Tower Account Factory, diretamente do AWS Service Catalog console ou chamando a
ProvisionProductAPI Service Catalog. -
AWS Service Catalog chama o AWS Control Tower.
-
O AWS Control Tower inicia um fluxo de trabalho que, como primeira etapa, chama a AWS Organizations
CreateAccountAPI. -
Depois de AWS Organizations criar a conta, o AWS Control Tower conclui o processo de provisionamento aplicando esquemas e controles.
-
O Service Catalog continua a inspecionar o AWS Control Tower para verificar a conclusão do processo de provisionamento.
-
Quando o fluxo de trabalho no AWS Control Tower é concluído, o Service Catalog finaliza o estado da conta e informa você (o solicitante) sobre o resultado.
Considerações sobre como trazer contas de segurança ou registro em log existentes
Antes de aceitar uma conta Conta da AWS como segurança (nome padrão: Auditoria) ou de registro (nome padrão: arquivo de registros), a AWS Control Tower verifica a conta em busca de recursos que estejam em conflito com os requisitos da AWS Control Tower. Por exemplo, é possível ter um bucket de registro em log com o mesmo nome exigido pelo AWS Control Tower. Além disso, o AWS Control Tower valida que a conta pode provisionar recursos; por exemplo, garantindo que AWS Security Token Service (AWS STS) esteja habilitado, que a conta não seja suspensa e que a AWS Control Tower tenha permissão para provisionar recursos dentro da conta.
O AWS Control Tower não remove nenhum recurso existente nas contas de registro em log e segurança que você fornece. No entanto, se você optar por habilitá-lo, o controle de negação do AWS Control Tower impedirá o acesso a recursos em regiões negadas.
Segurança para contas
É possível encontrar orientações sobre as práticas recomendadas para proteger a segurança da conta de gerenciamento do AWS Control Tower e das contas-membros na documentação do AWS Organizations .
