As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Etapa 2c. Configure as contas compartilhadas, o registro em log e a criptografia
Nesta seção do processo de configuração, o painel mostra as seleções padrão para os nomes das contas compartilhadas do AWS Control Tower. Essas contas são uma parte essencial da zona de pouso. **Não mova nem exclua essas contas compartilhadas**. Você pode escolher nomes personalizados para a conta **auditoria** e de **arquivo de logs** durante a configuração. Como alternativa, você tem uma opção única para especificar contas da AWS existentes como suas contas compartilhadas.
Você deve fornecer endereços de e-mail exclusivos para as contas de arquivamento de logs e de auditoria e pode verificar o endereço de e-mail que forneceu anteriormente para a conta de gerenciamento. Escolha o botão **Editar** para alterar os valores padrão editáveis.
**Sobre as contas compartilhadas**
+ **A conta de gerenciamento**: a conta de gerenciamento do AWS Control Tower faz parte do nível raiz. A conta de gerenciamento permite o faturamento do AWS Control Tower. A conta também tem permissões de administrador para a zona de pouso. Você não pode criar contas separadas para faturamento e permissões de administrador no AWS Control Tower.
O endereço de e-mail mostrado para a conta de gerenciamento não é editável durante essa fase de configuração. Ele é exibida como uma confirmação, para que você possa verificar se está editando a conta de gerenciamento correta, caso tenha várias contas.
+ **As duas contas compartilhadas**: você pode escolher nomes personalizados para essas duas contas ou trazer suas próprias contas e fornecer um endereço de e-mail exclusivo para cada conta, nova ou existente. Se você optar por fazer com que o AWS Control Tower crie novas contas compartilhadas para você, os endereços de e-mail ainda não devem ter AWS contas associadas.
**Para configurar as contas compartilhadas, preencha as informações solicitadas.**
1. No console, insira um nome para a conta inicialmente chamada de conta de **arquivamento de logs**. Muitos clientes decidem manter o nome padrão dessa conta.
1. Forneça um endereço de e-mail exclusivo para essa conta.
1. Insira um nome para a conta inicialmente chamada de conta de **auditoria**. Muitos clientes optam por chamá-la de conta de **segurança**.
1. Forneça um endereço de e-mail exclusivo para essa conta.
# Se desejar, configure a retenção de logs
Durante essa fase de configuração, você pode personalizar a política de retenção de logs para buckets do Amazon S3 que armazenam seus AWS CloudTrail registros no AWS Control Tower, em incrementos de dias ou anos, até um máximo de 15 anos. Se você optar por não personalizar sua retenção de logs, as configurações padrão são de um ano para registro em log de conta padrão e 10 anos para registro em log de acesso. Esse recurso também está disponível quando você atualiza ou redefine a zona de pouso.
# Opcionalmente, Conta da AWS autogerencie o acesso
Você pode selecionar se o AWS Control Tower configura o Conta da AWS acesso com AWS Identity and Access Management (IAM) ou se deseja autogerenciar o Conta da AWS acesso — seja com usuários, funções e permissões AWS do IAM Identity Center que você pode configurar e personalizar por conta própria, ou com outro método, *como um IdP externo, seja para federação direta de contas ou federação de várias contas por meio do IAM Identity* Center. É possível alterar essa seleção posteriormente.
Por padrão, o AWS Control Tower configura o AWS IAM Identity Center para sua landing zone, de acordo com a orientação de melhores práticas definida em [Organizando seu AWS ambiente usando várias contas](https://docs.aws.amazon.com//whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html). A maioria dos clientes escolhe o padrão. Às vezes, métodos alternativos de acesso são necessários para conformidade regulatória em setores ou países específicos ou Regiões da AWS onde o AWS IAM Identity Center não está disponível.
A seleção de provedores de identidade no nível da conta não é permitida. Essa opção se aplica somente à zona de pouso como um todo.
Para obter mais informações, consulte [Orientações sobre o Centro de Identidade do IAM](sso-guidance.md).
# Opcionalmente, configure trilhas AWS CloudTrail
Como prática recomendada, sugerimos que você configure o registro em log. **Se você quiser permitir que o AWS Control Tower configure uma CloudTrail trilha em nível organizacional e a gerencie para você, escolha Optar por participar.** Se você deseja gerenciar o registro com suas próprias CloudTrail trilhas ou com uma ferramenta de registro de terceiros, escolha **Optar por não participar**. Confirme sua seleção quando solicitado no console. Você pode alterar sua seleção aceitar ou recusar trilhas do nível da organização ao atualizar a zona de pouso.
Você pode configurar e gerenciar suas próprias CloudTrail trilhas a qualquer momento, incluindo trilhas em nível organizacional e em nível de conta. Se você configurar CloudTrail trilhas duplicadas, poderá incorrer em custos duplicados quando os CloudTrail eventos forem registrados.
# Configurar opcionalmente AWS KMS keys
Se você quiser criptografar e descriptografar seus recursos com uma chave de AWS KMS criptografia, marque a caixa de seleção. Se tiver chaves existentes, você poderá selecioná-las pelos identificadores exibidos em um menu suspenso. Você pode gerar uma nova chave escolhendo **Criar uma chave**. Você pode adicionar ou alterar uma chave do KMS sempre que atualizar a zona de pouso.
Quando você seleciona **Configurar zona de pouso**, o AWS Control Tower realiza uma pré-verificação para validar sua chave do KMS. A chave também deve atender a estes requisitos:
+ Habilitada
+ Simétrica
+ Não ser uma chave multirregional
+ Ter as permissões corretas adicionadas à política
+ Estar na conta de gerenciamento
Poderá ser exibido um banner de erro se a chave não atender a esses requisitos. Nesse caso, escolha outra chave ou gere uma. Certifique-se de atualizar a política de permissões da chave, conforme descrito na próxima seção.
## Atualizar a política de chave do KMS
Antes de atualizar uma política de chave do KMS, você deve criar uma chave do KMS. Para obter mais informações, consulte [Criar uma política de chave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) no *Guia do desenvolvedor do AWS Key Management Service *.
Para usar uma chave do KMS com o AWS Control Tower, você deve atualizar a política padrão de chaves do KMS adicionando as permissões mínimas necessárias para e. AWS Config AWS CloudTrail Como prática recomendada, sugerimos que você inclua as permissões mínimas exigidas em qualquer política. Ao atualizar uma política de chave do KMS, você pode adicionar permissões como um grupo em uma única instrução JSON ou linha por linha.
O procedimento descreve como atualizar a política de chave KMS padrão no AWS KMS console adicionando declarações de política que permitem AWS Config e devem CloudTrail ser usadas AWS KMS para criptografia. As instruções de política exigem que você inclua as seguintes informações:
+ **`YOUR-MANAGEMENT-ACCOUNT-ID`**: o ID da conta de gerenciamento na qual o AWS Control Tower será configurado.
+ **`YOUR-HOME-REGION`**: a região de origem que você selecionará ao configurar o AWS Control Tower.
+ **`YOUR-KMS-KEY-ID`**: o ID da chave do KMS que será usado com a política.
**Como atualizar a política de chave do KMS**
1. Abra o AWS KMS console em [https://console.aws.amazon.com//kms](https://console.aws.amazon.com//kms)
1. No painel de navegação, escolha **Chaves gerenciadas pelo cliente**.
1. Na tabela, selecione a chave que você deseja editar.
1. Na guia **Política de chave**, verifique se você consegue visualizar a política de chave. Se você não conseguir visualizar a política de chave, escolha **Alternar para a visualização da política**.
1. Escolha **Editar** e atualize a política de chaves padrão do KMS adicionando as seguintes declarações de política para AWS Config e. CloudTrail
**AWS Config declaração de política**
```
{
"Sid": "Allow Config to use KMS for encryption",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
}
```
**CloudTrail declaração de política**
```
{
"Sid": "Allow CloudTrail to use KMS for encryption",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
}
}
}
```
1. Escolha **Salvar alterações**.
**Exemplo de política de chave do KMS**
O exemplo de política a seguir mostra como sua política de chaves do KMS pode parecer depois de adicionar as declarações de política que concedem AWS Config e CloudTrail as permissões mínimas necessárias. O exemplo de política não inclui a política de chave padrão do KMS.
```
{
"Version": "2012-10-17",
"Id": "CustomKMSPolicy",
"Statement": [
{
... YOUR-EXISTING-POLICIES ...
},
{
"Sid": "Allow Config to use KMS for encryption",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:PARTITION:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
},
{
"Sid": "Allow CloudTrail to use KMS for encryption",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*",
"kms:Decrypt"
],
"Resource": "arn:PARTITION:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:PARTITION:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:PARTITION:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
}
}
}
]
}
```
Para ver outros exemplos de políticas, consulte as seguintes páginas:
+ [Granting encrypt permissions](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail.html#create-kms-key-policy-for-cloudtrail-encrypt) no *Guia do usuário do AWS CloudTrail *.
+ [Required Permissions for the KMS Key When Using Service-Linked RolesS3 Bucket Delivery)](https://docs.aws.amazon.com//config/latest/developerguide/s3-kms-key-policy.html#required-permissions-s3-kms-key-using-servicelinkedrole) no *Guia do desenvolvedor do AWS Config *.
**Proteção contra invasores**
Ao adicionar determinadas condições às suas políticas, você pode ajudar a evitar um tipo específico de ataque, conhecido como ataque *confused deputy*, que ocorre se uma entidade coagir uma entidade com mais privilégios a realizar uma ação, como a falsificação de identidade entre serviços. Também consulte informações gerais sobre condições de política em [Especificar condições em uma política](access-control-overview.md#specifying-conditions).
O AWS Key Management Service (AWS KMS) permite que você crie chaves KMS multirregionais e chaves assimétricas; no entanto, o AWS Control Tower não oferece suporte a chaves multirregionais ou chaves assimétricas. O AWS Control Tower realiza uma pré-verificação das chaves existentes. Você poderá receber uma mensagem de erro se selecionar uma chave multirregional ou uma chave assimétrica. Nesse caso, gere outra chave para usar com os recursos do AWS Control Tower.
Para obter mais informações sobre AWS KMS, consulte [o Guia do AWS KMS desenvolvedor.](https://docs.aws.amazon.com//kms/latest/developerguide/overview.html)
Observe que os dados do cliente no AWS Control Tower são criptografados em repouso, por padrão, usando SSE-S3.
# Opcionalmente, configure a inscrição automática para contas
Quando você ativa esse recurso durante a configuração ou posteriormente, contas que são movidas entre duas contas registradas OUs ou movidas para o seu ambiente do AWS Control Tower pela primeira vez não mostram mais um estado de variação de herança. As contas herdam automaticamente as linhas de base e os controles que estão habilitados na nova UO. Os controles e as linhas de base da UO anterior são removidos.
Para optar pela inscrição automática a qualquer momento após a configuração, navegue até a página de **configurações** da zona de pouso e escolha **Atualizar** zona de pouso ou chame a API do AWS Control Tower`UpdateLandingZone`.
Você pode mover uma conta OUs por meio da AWS Organizations API ou por meio do console do AWS Control Tower. Se você mover uma conta para fora de uma UO registrada, o AWS Control Tower removerá automaticamente todas as linhas de base e controles implantados. Basicamente, ele cancela a conta no AWS Control Tower.
**nota**
Se você optar por ativar o recurso de inscrição automática após a configuração inicial da landing zone, o AWS Control Tower não resolverá retroativamente o desvio de herança causado pela movimentação de contas OUs antes da ativação do recurso de inscrição automática. A resolução automática de desvio entra em vigor para contas que são movidas depois que você habilita essa configuração.
# Opcionalmente, configure e crie contas-membros personalizadas
Ao seguir o fluxo de trabalho **Criar conta** para adicionar suas contas-membros, você pode, opcionalmente, especificar um *esquema* previamente definido para usar no provisionamento de contas-membros personalizadas pelo console do AWS Control Tower. É possível personalizar as contas mais tarde caso você não tenha um esquema disponível. Consulte [Personalizar contas com Account Factory Customization (AFC)](af-customization-page.md).