As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Recursos criados nas contas compartilhadas
Esta seção mostra os recursos que o AWS Control Tower cria nas contas compartilhadas quando você configura a zona de pouso.
Consulte informações sobre os recursos de conta-membro em Considerações sobre recursos do Account Factory.
Recursos da conta de gerenciamento
Quando você configura sua landing zone, os seguintes AWS recursos são criados em sua conta de gerenciamento.
| Serviço da AWS | Tipo de atributo | Nome do recurso |
|---|---|---|
| AWS Organizations | Contas | audit log archive |
| AWS Organizations | UOs | Security Sandbox |
| AWS Organizations | Políticas de controle de serviço | aws-guardrails-* |
| AWS CloudFormation | Pilhas | AWSControlTowerBP-BASELINE-CLOUDTRAIL-MASTER AWSControlTowerBP-BASELINE-CONFIG-MASTER(na versão 2.6 e posterior; não implantado na 4.0 e posterior) |
| AWS CloudFormation | StackSets |
AWSControlTowerBP-BASELINE-CLOUDTRAIL (mão implantado na versão 3.0 e posterior) AWSControlTowerBP_BASELINE_SERVICE_LINKED_ROLE (Deployed in 3.2 and later) AWSControlTowerBP-BASELINE-CLOUDWATCH AWSControlTowerBP-BASELINE-CONFIG AWSControlTowerBP-BASELINE-ROLES AWSControlTowerBP-BASELINE-SERVICE-ROLES AWSControlTowerBP-SECURITY-TOPICS AWSControlTowerLoggingResources AWSControlTowerSecurityResources AWSControlTowerExecutionRole AWSControlTowerBP-CONFIG-CENTRAL-S3-BUCKET(Implantado na versão 4.0 e versões posteriores) |
| AWS Service Catalog | Produto | Account Factory do AWS Control Tower |
| AWS Config | Agregador | aws-controltower-ConfigAggregatorForOrganizations(Não implantado na versão 4.0 e versões posteriores) |
| AWS CloudTrail | Trilha | aws-controltower-BaselineCloudTrail |
| Amazon CloudWatch | CloudWatch Registros | aws-controltower/CloudTrailLogs |
| AWS Identity and Access Management | Perfis | AWSControlTowerAdmin AWSControlTowerStackSetRole AWSControlTowerCloudTrailRolePolicy |
| AWS Identity and Access Management | Políticas | AWSControlTowerServiceRolePolicy AWSControlTowerAdminPolicy AWSControlTowerCloudTrailRolePolicy AWSControlTowerStackSetRolePolicy |
| Centro de Identidade do AWS IAM | Grupos de diretórios | AWSAccountFactory AWSAuditAccountAdmins AWSControlTowerAdmins AWSLogArchiveAdmins AWSLogArchiveViewers AWSSecurityAuditors AWSSecurityAuditPowerUsers AWSServiceCatalogAdmins |
| Centro de Identidade do AWS IAM | Conjuntos de permissões | AWSAdministratorAccess AWSPowerUserAccess AWSServiceCatalogAdminFullAccess AWSServiceCatalogEndUserAccess AWSReadOnlyAccess AWSOrganizationsFullAccess |
nota
O não CloudFormation StackSet BP_BASELINE_CLOUDTRAIL está implantado nas versões 3.0 ou posteriores do landing zone. No entanto, ele continua existindo nas versões anteriores da zona de pouso, até que você a atualize.
A partir de junho de 2025, o AWS Control Tower implanta controles de detetive como AWS Config regras vinculadas a serviços diretamente nas contas inscritas, em vez de por meio delas. CloudFormation StackSets O StackSets AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-READ-PROHIBITED and AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-WRITE-PROHIBITED e suas instâncias de pilha associadas não são mais implantadas. Para obter mais informações, consulte Support para controles de detetive implantados como regras do AWS Config vinculadas a serviços.
Recursos da conta de arquivamento de logs
Quando você configura sua landing zone, os seguintes AWS recursos são criados em sua conta de arquivamento de registros.
| Serviço da AWS | Tipo de atributo | Nome do recurso |
|---|---|---|
| AWS CloudFormation | Pilhas |
StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH- StackSet-AWSControlTowerBP-BASELINE-CONFIG- StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL- StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES- StackSet-AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLE-(In 3.2 and later) StackSet-AWSControlTowerBP-BASELINE-ROLES- StackSet-AWSControlTowerLoggingResources- |
| AWS Config | Regras do AWS Config | AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_READ_PROHIBITED AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_WRITE_PROHIBIT |
| AWS CloudTrail | Trilhas | aws-controltower-BaselineCloudTrail |
| Amazon CloudWatch | CloudWatch Regras do evento | aws-controltower-ConfigComplianceChangeEventRule |
| Amazon CloudWatch | CloudWatch Registros | /aws/lambda/aws-controltower-NotificationForwarder |
| AWS Identity and Access Management | Perfis | aws-controltower-AdministratorExecutionRole aws-controltower-CloudWatchLogsRole aws-controltower-ConfigRecorderRole aws-controltower-ForwardSnsNotificationRole aws-controltower-ReadOnlyExecutionRole AWSControlTowerExecution |
| AWS Identity and Access Management | Políticas | AWSControlTowerServiceRolePolicy |
| Amazon Simple Notification Service | Tópicos | aws-controltower-SecurityNotifications |
| AWS Lambda | Aplicativos | StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-* |
| AWS Lambda | Funções | aws-controltower-NotificationForwarder |
| Amazon Simple Storage Service | Buckets | aws-controltower-logs-* aws-controltower-s3-access-logs-* |
Recursos da conta de auditoria
Quando você configura sua landing zone, os seguintes AWS recursos são criados em sua conta de auditoria.
| Serviço da AWS | Tipo de atributo | Nome do recurso |
|---|---|---|
| AWS CloudFormation | Pilhas |
StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH- StackSet-AWSControlTowerBP-BASELINE-CONFIG- StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL- StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES- StackSet-AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLE-(In 3.2 and later) StackSet-AWSControlTowerBP-SECURITY-TOPICS- StackSet-AWSControlTowerBP-BASELINE-ROLES- StackSet-AWSControlTowerSecurityResources-* StackSet-AWSControlTowerBP-CONFIG-CENTRAL-S3-BUCKET-(Implantado na versão 4.0 e versões posteriores) |
| AWS Config | Agregador | aws-controltower-GuardrailsComplianceAggregator(Não implantado na versão 4.0 e versões posteriores) |
| AWS Config | Agregador | aws-controltower-ConfigAggregatorForOrganizations(Implantado na versão 4.0 e versões posteriores) |
| AWS Config | Regras do AWS Config | AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_READ_PROHIBITED AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_WRITE_PROHIBITED |
| AWS CloudTrail | Trilha | aws-controltower-BaselineCloudTrail |
| Amazon CloudWatch | CloudWatch Regras do evento | aws-controltower-ConfigComplianceChangeEventRule |
| Amazon CloudWatch | CloudWatch Registros | /aws/lambda/aws-controltower-NotificationForwarder |
| AWS Identity and Access Management | Perfis | aws-controltower-AdministratorExecutionRole aws-controltower-CloudWatchLogsRole aws-controltower-ConfigRecorderRole aws-controltower-ForwardSnsNotificationRole aws-controltower-ReadOnlyExecutionRole aws-controltower-AuditAdministratorRole aws-controltower-AuditReadOnlyRole AWSControlTowerExecution |
| AWS Identity and Access Management | Políticas | AWSControlTowerServiceRolePolicy |
| Amazon Simple Notification Service | Tópicos | aws-controltower-AggregateSecurityNotifications aws-controltower-AllConfigNotifications aws-controltower-SecurityNotifications |
| AWS Lambda | Funções | aws-controltower-NotificationForwarder |
| Amazon Simple Storage Service | Buckets | aws-controltower-config-logs-*(Implantado na versão 4.0 e versões posteriores) aws-controltower-config-access-logs-*(Implantado na versão 4.0 e versões posteriores) |
