Terminologia

Consulte mais informações sobre organizações e UOs em AWS Organizations terminology and concepts. Se você é iniciante no AWS Control Tower, essa terminologia é um bom lugar para começar.

 O AWS Organizations é um serviço da AWS ajuda a administrar centralmente seu ambiente à medida que você expande e escala suas workloads na AWS. O AWS Control Tower depende do AWS Organizations para criar contas, aplicar controles preventivos no nível da UO e fornecer faturamento centralizado.

Uma conta do AWS Account Factory é uma conta da AWS provisionada usando o Account Factory no AWS Control Tower. Às vezes, o Account Factory é chamado informalmente de “máquina de venda automática” de contas.

Sua região de origem do AWS Control Tower é a região da AWS na qual a zona de pouso do AWS Control Tower foi implantada. Você pode ver sua região de origem nas configurações de zona inicial.

AWS Service Catalog O permite gerenciar de forma central os serviços de TI comumente implantados. No contexto deste documento, o Account Factory usa o AWS Service Catalog para provisionar novas contas da AWS, incluindo contas de esquemas personalizados.

O AWS CloudFormation StackSets é um tipo de recurso que amplia a funcionalidade das pilhas, permitindo criar, atualizar ou excluir pilhas em várias contas e regiões com uma única operação um modelo do CloudFormation.

Uma instância de pilha é uma referência a uma pilha em uma conta de destino dentro de uma região.

Uma pilha é um conjunto de recursos da AWS que você pode gerenciar como uma unidade.

Um agregador é um tipo de recurso do AWS Config que coleta dados de configuração e conformidade do AWS Config de várias contas e regiões da organização, permitindo visualizar e consultar esses dados de conformidade em uma única conta.

Um pacote de conformidade é uma coleção de regras do AWS Config e ações de correção que podem ser facilmente implantadas como uma única entidade em uma conta e em uma região, ou em uma organização no AWS Organizations. Você pode usar um pacote de conformidade para ajudar a personalizar seu ambiente do AWS Control Tower. Para blogs técnicos que fornecem mais detalhes, consulte Related information.

Uma linha de base no AWS Control Tower é um grupo de recursos e configurações específicas que você pode aplicar a um destino. O destino da linha de base mais comum pode ser uma unidade organizacional (UO). Por exemplo, a linha de base chamada AWSControlTowerBaseline está disponível para ajudar a registrar suas UOs no AWS Control Tower. Durante a configuração e atualização da zona de pouso, a meta básica pode ser uma conta compartilhada ou uma configuração específica para a zona de pouso como um todo.

Esquema: um esquema é um artefato que encapsula alguns metadados, que descreve os componentes da infraestrutura implantados em uma conta. Por exemplo, um modelo do CloudFormation pode servir como um esquema para uma conta do AWS Control Tower.

Desvio: uma alteração em um recurso instalado e configurado pelo AWS Control Tower. Recursos sem desvio permitem que o AWS Control Tower funcione adequadamente.

Recurso não compatível: um recurso que viola uma regra do AWS Config que define um controle específico de detecção.

Conta compartilhada: uma das três contas que o AWS Control Tower cria automaticamente quando você configura a zona de pouso: a conta de gerenciamento, a conta de arquivamento de logs e a conta de auditoria. Você pode escolher nomes personalizados para a conta de arquivamento de logs e a conta de auditoria durante a configuração.

Conta-membro: uma conta-membro pertence à organização do AWS Control Tower. A conta-membro pode ser inscrita ou não inscrita no AWS Control Tower. Quando uma UO registrada contém uma combinação de contas inscritas e não inscritas:

Uma conta só pode ser membro de uma organização de cada vez e seus encargos são cobrados na conta de gerenciamento dessa organização. Uma conta-membro pode ser movida para o contêiner raiz de uma organização.

Conta da AWS: uma conta da AWS atua como um contêiner de recursos e um limite de isolamento de recursos. Uma conta da AWS pode ser associada ao faturamento e ao pagamento. Uma conta da AWS é diferente de uma conta de usuário (às vezes chamada de conta de usuário do IAM) no AWS Control Tower. As contas criadas por meio do processo de provisionamento do Account Factory são contas da AWS. As contas da AWS também podem ser adicionadas ao AWS Control Tower por meio do processo de inscrição de uma conta ou registro da UO.

Controle: um controle (também conhecido como barreira de proteção) é uma regra de alto nível que fornece governança contínua para o ambiente geral do AWS Control Tower. Cada controle impõe uma única regra. Os controles preventivos são implementados com SCPs. Os controles de detecção são implementados com regras do AWS Config. Os controles proativos são implementados com hooks do CloudFormation. Para obter mais informações, consulte Como os controles funcionam.

Control Catalog: o catálogo de controle do AWS Control Tower é o compêndio de todos os controles que estão disponíveis por meio do AWS Control Tower, no console e nas APIs. Anteriormente, era chamada de Control Library. Alinhamos a terminologia com o nome do namespace, controlcatalog.

Zona de pouso: uma zona de pouso é um ambiente em nuvem que oferece um ponto de partida recomendado, incluindo contas padrão, estrutura de contas, layouts de rede e segurança etc. Com uma zona de pouso, é possível implantar workloads que utilizam suas soluções e aplicações.

Estrutura: uma estrutura é um padrão regulatório específico ou requisito do setor. Na ontologia do Control Catalog, uma estrutura é representada por um controle padrão. Para obter mais informações, consulte a visão geral da Ontologia do Control Catalog.

UO aninhada: uma UO aninhada no AWS Control Tower é uma UO contida em outra UO. Uma UO pode ter exatamente uma UO principal e cada conta pode ser membro de exatamente uma UO. As UOs aninhadas criam uma hierarquia. Quando você anexa uma política a uma das OUs na hierarquia, ela é propagada e afeta todas as UOs e contas nos níveis inferiores. Uma hierarquia de UO aninhada no AWS Control Tower pode ter no máximo cinco níveis de profundidade.

UO principal: a UO imediatamente acima da OU atual na hierarquia. Cada UO pode ter exatamente uma UO principal.

OU secundária: qualquer UO abaixo da UO atual na hierarquia. Uma UO pode ter muitas UOs secundárias.

Hierarquia de UOs: no AWS Control Tower, a hierarquia de UOs aninhadas pode ter até cinco níveis. A ordem de aninhamento é chamada de Níveis. O topo da hierarquia é chamado de Nível 1.

UO de nível superior: uma UO de nível superior é qualquer UO que esteja diretamente sob a raiz, não a raiz em si. A raiz não é considerada uma UO.

Administrada: uma região administrada é gerenciada e controlada no ambiente pelo AWS Control Tower, de acordo com as políticas de governança definidas pela organização. Essas Regiões da AWS são monitoradas de acordo com as práticas recomendadas e políticas organizacionais. Seus recursos nessas regiões são protegidos quando você habilita os controles do AWS Control Tower.

Não administrada: regiões que mostram o status Não administrada não são controladas nem monitoradas pelo AWS Control Tower. Essas Regiões da AWS geralmente não aderem às mesmas políticas de governança que o AWS Control Tower impõe. Você pode criar recursos nessas regiões, mas esses recursos não são protegidos pelos controles do AWS Control Tower.

Negada: uma região negada é bloqueada especificamente pelo AWS Control Tower. Dentro do ambiente do AWS Control Tower, você não pode provisionar recursos nessas Regiões da AWS.