AWS Control Tower Zona de pouso personalizada (Abordagem recomendada)

Construindo uma zona de pouso

Você tem algumas opções para criar sua zona de pouso no AWS. Você pode escolher um serviço gerenciado para orquestrar seu ambiente ou trabalhar com um parceiro para criar o seu próprio. O AWS oferece o AWS Control Tower, um serviço gerenciado. Recomendamos que todos os usuários comecem com o AWS Control Tower. No entanto, é importante entender as diferenças e os recursos de cada abordagem para que você possa tomar a melhor decisão para sua organização.

Opções para zonas de pouso no AWS:

AWS Control Tower
Zona de pouso personalizada

Mecanismo de entrega:

Diferenças entre o AWS Control Tower e uma zona de pouso personalizada.

Benefícios e desvantagens de cada abordagem:

Solução	Benefícios	Trade-offs
AWS Control Tower	Serviço totalmente gerenciado Os controles e as políticas de conformidade fornecidos pela AWS são aplicados por padrão. Fornece um painel central para monitoramento e status de conformidade. Fornece o Account Factory para provisionamento de novas contas. Algumas personalizações (como seleção de região e controles opcionais) estão disponíveis no console.	Extensibilidade e personalização adicionais são fornecidas pelo Customizations para AWS Control Tower (CfCT) e pelo Account Factory para Terraform (AFT). O AWS Control Tower é suportado nas regiões AWS mostradas na Lista de serviços regionais AWS.
AWS Organizations com uma solução personalizada criada pelo cliente ou parceiro	Solução personalizada.	O cliente ou parceiro é dono de todo o desenvolvimento e codificação. O cliente ou parceiro é responsável pela integração e implementação.

Todas as ofertas de ambientes de várias contas são fornecidas pelo AWS Organizations. O AWS Organizations fornece a infraestrutura e os recursos subjacentes para você criar e gerenciar seu ambiente AWS. Com o AWS Organizations, você mesmo pode seguir a orientação estratégica de várias contas fornecida pelo AWS e personalizar seu ambiente para melhor atender às suas necessidades comerciais. Se você já é um cliente e está satisfeito com sua implementação atual do AWS Organizations, deve continuar operando seu ambiente AWS atual.

AWS Control Tower

O AWS Control Tower é executado como um serviço AWS gerenciado. Quando você está procurando uma solução de ambiente pré-embalada pronta para uso, você pode usar o AWS Control Tower para obter orientação prescritiva e um ambiente totalmente gerenciado. O serviço configura uma zpna de pouso com base nas melhores práticas de várias contas, centraliza o gerenciamento de identidade e acesso e estabelece regras de governança pré-configuradas para segurança e conformidade.

O AWS Control Tower automatiza a configuração de uma nova zona de pouso usando as práticas recomendadas, esquemas de identidade, acesso federado e estrutura de contas. Alguns dos planos implementados no AWS Control Tower incluem:

Um ambiente com várias contas usando o AWS Organizations
Auditorias de segurança entre contas usando o AWS Identity and Access Management (IAM) e o AWS IAM Identity Center
Gerenciamento de identidade usando o diretório padrão do Identity Center
Registro de log centralizado do AWS CloudTrail, e AWS Config armazenado no Amazon Simple Storage Service (Amazon S3)

Controles são regras de alto nível que fornecem governança contínua para todo o seu ambiente da AWS. Controles podem ser preventivos ou detectivos. Os controles preventivos são implementados usando políticas de controle de serviço (SCPs), que fazem parte do AWS Organizations. Os controles de detetive são implementados usando o AWS Config. Exemplos de controles do AWS Control Tower incluem:

Não permitir a criação de chaves de acesso para o usuário raiz
Desautorizar conexão com a Internet via RDP
Desautorizar o acesso público de gravação a buckets S3
Proibir volumes do Amazon Elastic Block Store (Amazon EBS) que não estejam anexados a uma instância do Amazon Elastic Compute Cloud (Amazon EC2)

nota

O AWS Control Tower é um ponto de partida para uma zona de pouso. Você precisa determinar sua estratégia de rede, gerenciamento de acesso e segurança com base em seus requisitos exclusivos à medida que constrói sua zona de pouso.

Zona de pouso personalizada

Você pode escolher criar sua própria solução personalizada de zona de pouso. Nesse caso, você implementa o ambiente básico para começar com o gerenciamento de identidade e acesso, governança, segurança de dados, design de rede e registro. Recomendamos essa abordagem se você quiser criar todos os componentes do seu ambiente do zero ou se tiver requisitos que somente uma solução personalizada pode suportar. Você deve ter experiência suficiente no AWS para gerenciar, atualizar, manter e operar a solução depois de implantada.

(Abordagem recomendada)

Recomendamos que você comece com o AWS Control Tower para construir sua zona de pouso. O AWS Control Tower ajuda a criar uma configuração inicial prescritiva da zona de pouso, usar controles e esquemas prontos para uso e criar novas contas usando o AWS Control Tower Account Factory.

Durante a configuração, você pode personalizar sua zona de pouso a partir do console do AWS Control Tower. Para obter detalhes, consulte a documentação do AWS Control Tower. Depois de configurar sua zona de pouso básica, use uma destas opções para aprimorá-la e personalizá-la ainda mais:

Use o Customizations para AWS Control Tower (CfCT), que oferece amplas opções de personalização por meio de modelos e políticas de controle de serviço (SCPs) do CloudFormation. Para obter mais informações, consulte a a documentação do AWS Control Tower.
Use o Landing Zone Accelerator (LZA) para aprimorar sua zona de pouso e alinhá-la às frameworks de conformidade. Para obter mais informações, consulte o guia de implementação do LZA.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

O que é uma zona de pouso?

Próximas etapas