As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Sobre Contas da AWS na AWS Control Tower
An Conta da AWS é o contêiner para todos os seus recursos próprios. Esses recursos incluem as identidades AWS Identity and Access Management (IAM) aceitas pela conta, que determinam quem tem acesso a essa conta. As identidades do IAM podem incluir usuários, grupos, perfis e muito mais. Consulte mais informações sobre como trabalhar com perfis, políticas e usuários do IAM no AWS Control Tower em Identity and access management in AWS Control Tower.
Recursos e tempo de criação da conta
Quando o AWS Control Tower cria ou inscreve uma conta, ele implanta a configuração mínima necessária de recursos para a conta, incluindo recursos na forma de modelos do Account Factory e outros recursos na zona de pouso. Esses recursos podem incluir funções do IAM, AWS CloudTrail trilhas, produtos provisionados pelo Service Catalog e usuários do IAM Identity Center. O AWS Control Tower também implanta recursos, conforme exigido pela configuração de controle, para a unidade organizacional (UO) na qual a nova conta está destinada a se tornar uma conta-membro.
O AWS Control Tower orquestra a implantação desses recursos em seu nome. Pode ser necessário vários minutos por recurso para concluir a implantação, portanto, considere o tempo total antes de criar ou inscrever uma conta. Consulte mais informações sobre como gerenciar recursos nas contas em Orientações para criar e modificar recursos do AWS Control Tower.
Considerações sobre como trazer contas de segurança ou registro em log existentes
Antes de aceitar uma conta Conta da AWS como de segurança ou de registro, a AWS Control Tower verifica a conta em busca de recursos que estejam em conflito com os requisitos da AWS Control Tower. Por exemplo, é possível ter um bucket de registro em log com o mesmo nome exigido pelo AWS Control Tower. Além disso, o AWS Control Tower valida que a conta pode provisionar recursos; por exemplo, garantindo que AWS Security Token Service (AWS STS) esteja habilitado, que a conta não seja suspensa e que a AWS Control Tower tenha permissão para provisionar recursos dentro da conta.
O AWS Control Tower não remove nenhum recurso existente nas contas de registro em log e segurança que você fornece. No entanto, se você optar por ativar o recurso de Região da AWS negação, o controle de negação de região impedirá o acesso a recursos em regiões negadas.
Sobre as contas compartilhadas
Três especiais Contas da AWS estão associados ao AWS Control Tower: a conta de gerenciamento, a conta de auditoria e a conta de arquivamento de registros. Essas contas geralmente são chamadas de contas compartilhadas ou, às vezes, de contas principais.
-
É possível escolher nomes personalizados para as contas de auditoria e de arquivo de logs ao configurar a zona de pouso. Consulte informações sobre como alterar o nome de uma conta em Externally changing AWS Control Tower resource names.
Você também pode especificar uma conta existente Conta da AWS como segurança ou de registro do AWS Control Tower durante o processo inicial de configuração da landing zone. Essa opção elimina a necessidade de o AWS Control Tower criar contas novas e compartilhadas. (Essa é uma seleção única.)
Consulte mais informações sobre contas compartilhadas e seus recursos associados em Recursos criados nas contas compartilhadas.
Conta de gerenciamento
Isso Conta da AWS lança o AWS Control Tower. Por padrão, o usuário-raiz dessa conta e o usuário do IAM ou usuário administrador do IAM dessa conta têm acesso total a todos os recursos na zona de pouso.
nota
Como prática recomendada, aconselhamos fazer login como usuário do Centro de identidade do IAM com privilégios de Administrador ao realizar funções administrativas no console do AWS Control Tower, em vez de fazer login como usuário-raiz ou usuário administrador do IAM dessa conta.
Consulte mais informações sobre os perfis e os recursos disponíveis na conta de gerenciamento em Recursos criados nas contas compartilhadas.
Conta de arquivamento de logs
A conta compartilhada de arquivamento de logs é configurada automaticamente quando você cria a zona de pouso.
Essa conta contém um bucket central do Amazon S3 para armazenar uma cópia de todas as contas AWS CloudTrail e os arquivos de AWS Config log de todas as outras contas em sua landing zone. Como prática recomendada, aconselhamos restringir o acesso à conta de arquivamento de logs às equipes responsáveis pela conformidade e pelas investigações e às ferramentas de segurança ou auditoria relacionadas. Essa conta pode ser usada para auditorias de segurança automatizadas ou para hospedar funções personalizadas Regras do AWS Config, como Lambda, para realizar ações de remediação.
Política de bucket do Amazon S3
Para a zona de pouso do AWS Control Tower versão 3.3 e posterior, as contas devem atender a uma condição aws:SourceOrgID para qualquer permissão de gravação no bucket de auditoria. Essa condição garante que CloudTrail somente registros em nome de contas dentro de sua organização possam ser gravados em seu bucket do S3; ela impede que CloudTrail registros de fora da sua organização gravem em seu bucket S3 do AWS Control Tower. Para obter mais informações, consulte Versão 3.3 da zona de pouso do AWS Control Tower.
Consulte mais informações sobre os perfis e os recursos disponíveis na conta de arquivamento de logs em Recursos da conta de arquivamento de logs.
nota
Esses logs não podem ser alterados. Todos os logs são armazenados para fins de investigações de auditoria e conformidade relacionadas à atividade da conta.
Conta de auditoria
Essa conta compartilhada é configurada automaticamente quando você cria a zona de pouso.
A conta de auditoria deve ser restrita às equipes de segurança e conformidade com perfis entre contas de auditor (somente leitura) e administrador (acesso total) em todas as contas na zona de pouso. Esses perfis devem ser usados pelas equipes de segurança e conformidade para:
-
Realize auditorias por meio de AWS mecanismos, como hospedar funções Lambda de AWS Config regras personalizadas.
-
Executar operações de segurança automatizadas, como ações de correção.
A conta de auditoria também recebe notificações por meio do serviço Amazon Simple Notification Service (Amazon SNS). Três categorias de notificação podem ser recebidas:
-
Todos os eventos de configuração — Este tópico agrega todas as AWS Config notificações CloudTrail e notificações de todas as contas em sua landing zone.
-
Notificações de segurança agregadas — Este tópico agrega todas as notificações de segurança de CloudWatch eventos específicos, eventos de mudança de status de Regras do AWS Config conformidade e GuardDuty descobertas.
-
Notificações de deriva — Este tópico agrega todos os avisos de deriva descobertos em todas as contas OUs, usuários e em sua SCPs landing zone. Consulte mais informações sobre o desvio em Detectar e resolver desvios no AWS Control Tower.
As notificações de auditoria que são acionadas em uma conta-membro também podem enviar alertas para um tópico local do Amazon SNS. Essa funcionalidade permite que os administradores da conta assinem notificações de auditoria específicas de uma conta-membro individual. Como resultado, os administradores podem resolver problemas que afetam uma conta individual e, ao mesmo tempo, agregar todas as notificações da conta na conta de auditoria centralizada. Consulte mais informações no Guia do desenvolvedor do Amazon Simple Notification Service.
Consulte mais informações sobre os perfis e os recursos disponíveis na conta de auditoria em Recursos da conta de auditoria.
Consulte mais informações sobre a auditoria programática em Programmatic roles and trust relationships for the AWS Control Tower audit account.
Importante
O endereço de e-mail fornecido para a conta de auditoria receberá e-mails de Notificação da AWS : confirmação da assinatura de cada Região da AWS compatível com o AWS Control Tower. Para receber e-mails de conformidade em sua conta de auditoria, você deve escolher o link Confirmar assinatura em cada e-mail de cada um Região da AWS suportado pelo AWS Control Tower.
