As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Sobre as contas compartilhadas
Três especiais Contas da AWS estão associados ao AWS Control Tower: a conta de gerenciamento, a conta de auditoria e a conta de arquivamento de registros. Essas contas geralmente são chamadas de contas compartilhadas ou, às vezes, de contas principais.
-
É possível escolher nomes personalizados para as contas de auditoria e de arquivo de logs ao configurar a zona de pouso. Consulte informações sobre como alterar o nome de uma conta em Externally changing AWS Control Tower resource names.
Você também pode especificar uma conta existente Conta da AWS como uma conta de segurança ou registro do AWS Control Tower durante o processo inicial de configuração da landing zone. Essa opção elimina a necessidade de o AWS Control Tower criar contas novas e compartilhadas. (Essa é uma seleção única.)
Consulte mais informações sobre contas compartilhadas e seus recursos associados em Recursos criados nas contas compartilhadas.
conta gerencial
Isso Conta da AWS lança o AWS Control Tower. Por padrão, o usuário-raiz dessa conta e o usuário do IAM ou usuário administrador do IAM dessa conta têm acesso total a todos os recursos na zona de pouso.
nota
Como prática recomendada, aconselhamos fazer login como usuário do Centro de identidade do IAM com privilégios de Administrador ao realizar funções administrativas no console do AWS Control Tower, em vez de fazer login como usuário-raiz ou usuário administrador do IAM dessa conta.
Consulte mais informações sobre os perfis e os recursos disponíveis na conta de gerenciamento em Recursos criados nas contas compartilhadas.
Conta de arquivamento de logs
A conta compartilhada do arquivo de registros é configurada automaticamente quando você cria sua landing zone, se você não trouxer outra AWS conta especificamente.
Essa conta contém um bucket central do Amazon S3 para armazenar uma cópia de todas as contas AWS CloudTrail e os arquivos de AWS Config log de todas as outras contas em sua landing zone. Como prática recomendada, aconselhamos restringir o acesso à conta de arquivamento de logs às equipes responsáveis pela conformidade e pelas investigações e às ferramentas de segurança ou auditoria relacionadas. Essa conta pode ser usada para auditorias de segurança automatizadas ou para hospedar funções personalizadas Regras do AWS Config, como Lambda, para realizar ações de remediação.
Política de bucket do Amazon S3
Para a zona de pouso do AWS Control Tower versão 3.3 e posterior, as contas devem atender a uma condição aws:SourceOrgID para qualquer permissão de gravação no bucket de auditoria. Essa condição garante que CloudTrail somente registros em nome de contas dentro de sua organização possam ser gravados em seu bucket do S3; ela impede que CloudTrail registros de fora da sua organização gravem em seu bucket S3 do AWS Control Tower. Para obter mais informações, consulte Versão 3.3 da zona de pouso do AWS Control Tower.
Consulte mais informações sobre os perfis e os recursos disponíveis na conta de arquivamento de logs em Recursos da conta de arquivamento de logs.
nota
Esses logs não podem ser alterados. Todos os logs são armazenados para fins de investigações de auditoria e conformidade relacionadas à atividade da conta.
Conta de auditoria
Essa conta compartilhada é configurada automaticamente quando você cria a zona de pouso se você não trouxer especificamente outra conta.
A conta de auditoria deve ser restrita às equipes de segurança e conformidade com perfis entre contas de auditor (somente leitura) e administrador (acesso total) em todas as contas na zona de pouso. Esses perfis devem ser usados pelas equipes de segurança e conformidade para:
-
Realize auditorias por meio de AWS mecanismos, como hospedar funções Lambda de AWS Config regras personalizadas.
-
Executar operações de segurança automatizadas, como ações de correção.
A conta de auditoria também recebe notificações por meio do serviço Amazon Simple Notification Service (Amazon SNS). Três categorias de notificação podem ser recebidas:
-
Todos os eventos de configuração — Este tópico agrega todas as AWS Config notificações CloudTrail e notificações de todas as contas em sua landing zone.
-
Notificações de segurança agregadas — Este tópico agrega todas as notificações de segurança de CloudWatch eventos específicos, eventos de mudança de status de Regras do AWS Config conformidade e GuardDuty descobertas.
-
Notificações de deriva — Este tópico agrega todos os avisos de deriva descobertos em todas as contas OUs, usuários e em sua SCPs landing zone. Consulte mais informações sobre o desvio em Detectar e resolver desvios no AWS Control Tower.
As notificações de auditoria que são acionadas em uma conta-membro também podem enviar alertas para um tópico local do Amazon SNS. Essa funcionalidade permite que os administradores da conta assinem notificações de auditoria específicas de uma conta-membro individual. Como resultado, os administradores podem resolver problemas que afetam uma conta individual e, ao mesmo tempo, agregar todas as notificações da conta na conta de auditoria centralizada. Consulte mais informações no Guia do desenvolvedor do Amazon Simple Notification Service.
Consulte mais informações sobre os perfis e os recursos disponíveis na conta de auditoria em Recursos da conta de auditoria.
Consulte mais informações sobre a auditoria programática em Programmatic roles and trust relationships for the AWS Control Tower audit account.
Importante
O endereço de e-mail fornecido para a conta de auditoria receberá e-mails de Notificação da AWS: confirmação da assinatura de cada Região da AWS compatível com o AWS Control Tower. Para receber e-mails de conformidade em sua conta de auditoria, você deve escolher o link Confirmar assinatura em cada e-mail de cada um Região da AWS suportado pelo AWS Control Tower.
