Acerca Cuentas de AWS de AWS Control Tower - AWS Control Tower
Consideraciones a la hora de incorporar las cuentas de seguridad o de registro existentesAcerca de las cuentas compartidas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acerca Cuentas de AWS de AWS Control Tower

An Cuenta de AWS es el contenedor de todos sus recursos propios. Estos recursos incluyen las identidades AWS Identity and Access Management (IAM) aceptadas por la cuenta, que determinan quién tiene acceso a esa cuenta. Las identidades de IAM pueden incluir usuarios, grupos, roles y más. Para obtener más información sobre cómo trabajar con IAM, usuarios, roles y políticas en AWS Control Tower, consulte Identity and access management in AWS Control Tower.

Recursos y tiempo de creación de la cuenta

Cuando AWS Control Tower crea o inscribe una cuenta, implementa la configuración de recursos mínima necesaria para la cuenta, incluidos recursos en forma de plantillas del generador de cuentas y otros recursos en la zona de aterrizaje. Estos recursos pueden incluir funciones de IAM, AWS CloudTrail rutas, productos aprovisionados por Service Catalog y usuarios del IAM Identity Center. AWS Control Tower también implementa recursos, según lo requiera la configuración de control, para la OU en la que la nueva cuenta está destinada a convertirse en una cuenta de miembro.

AWS Control Tower organiza la implementación de estos recursos en su nombre. Es posible que se necesiten varios minutos por recurso para completar la implementación, así que tenga en cuenta el tiempo total antes de crear o inscribir una cuenta. Para obtener más información sobre la administración de recursos en las cuentas, consulte Guía para la creación y modificación de recursos de AWS Control Tower.

Consideraciones a la hora de incorporar las cuentas de seguridad o de registro existentes

Antes de aceptar una cuenta Cuenta de AWS como cuenta de seguridad o de registro, AWS Control Tower comprueba si hay recursos que no cumplan con los requisitos de la Torre de Control de AWS. Por ejemplo, puede tener un bucket de registro con el mismo nombre que requiere AWS Control Tower. Además, AWS Control Tower valida que la cuenta puede aprovisionar recursos; por ejemplo, garantizando que AWS Security Token Service (AWS STS) esté habilitada, que la cuenta no esté suspendida y que AWS Control Tower tenga permiso para aprovisionar recursos dentro de la cuenta.

AWS Control Tower no elimina ningún recurso existente en las cuentas de registro y de seguridad que proporciona. Sin embargo, si decide habilitar la función de Región de AWS denegación, el control de denegación regional impedirá el acceso a los recursos de las regiones denegadas.

Acerca de las cuentas compartidas

Cuentas de AWS Hay tres especiales asociadas a AWS Control Tower: la cuenta de administración, la cuenta de auditoría y la cuenta de archivo de registros. Por lo general, estas cuentas se denominan cuentas compartidas o, en ocasiones, cuentas principales.

  • Puede seleccionar nombres personalizados para las cuentas de auditoría y de archivo de registro al configurar la zona de aterrizaje. Para obtener información sobre cómo cambiar el nombre de una cuenta, consulte Cambio externo de nombres de recursos de AWS Control Tower.

  • También puede especificar una cuenta existente Cuenta de AWS como de seguridad o de registro de AWS Control Tower durante el proceso inicial de configuración de la landing zone. Esta opción elimina la necesidad de que AWS Control Tower cree nuevas cuentas compartidas. (se trata de una selección única).

Para obtener más información sobre las cuentas compartidas y sus recursos asociados, consulte Recursos creados en las cuentas compartidas.

Cuenta de administración

Esto Cuenta de AWS lanza AWS Control Tower. De forma predeterminada, el usuario raíz de esta cuenta y el usuario de IAM o el usuario administrador de IAM de esta cuenta tienen acceso completo a todos los recursos de la zona de aterrizaje.

nota

Como práctica recomendada, le sugerimos iniciar sesión como usuario de IAM Identity Center con privilegios de administrador al realizar funciones administrativas en la consola de la AWS Control Tower, en lugar de iniciar sesión como usuario raíz o usuario administrador de IAM en esta cuenta.

Para obtener más información sobre los roles y los recursos disponibles en la cuenta de administración, consulte Recursos creados en las cuentas compartidas.

Cuenta del archivo de registro

La cuenta compartida del archivo de registro se configura automáticamente al crear la zona de aterrizaje.

Esta cuenta contiene un bucket central de Amazon S3 para almacenar una copia de todas las cuentas AWS CloudTrail y los archivos de AWS Config registro de todas las demás cuentas de tu landing zone. Como práctica recomendada, le sugerimos restringir el acceso a la cuenta de archivo de registro a los equipos responsables del cumplimiento y las investigaciones, así como a las herramientas de seguridad o auditoría relacionadas. Esta cuenta se puede usar para auditorías de seguridad automatizadas o para alojar funciones personalizadas Reglas de AWS Config, como Lambda, para realizar acciones de corrección.

Política de buckets de Amazon S3

En la versión 3.3 y posteriores de la zona de aterrizaje de AWS Control Tower, las cuentas deben cumplir la condición aws:SourceOrgID para obtener permisos de escritura en el bucket de auditoría. Esta condición garantiza que CloudTrail solo pueda escribir registros en nombre de las cuentas de su organización en su bucket de S3; evita que CloudTrail los registros ajenos a su organización se escriban en su bucket de S3 de AWS Control Tower. Para obtener más información, consulte Zona de aterrizaje de AWS Control Tower, versión 3.3.

Para obtener más información sobre los roles y los recursos disponibles en la cuenta de archivo de registro, consulte Recursos de cuentas de archivo de registro

nota

Estos registros no se pueden cambiar. Todos los registros se almacenan con fines de auditoría e investigaciones de cumplimiento relacionadas con la actividad de la cuenta.

Cuenta de auditoría

Esta cuenta compartida se configura automáticamente al crear la zona de aterrizaje.

La cuenta de auditoría debe estar restringida a los equipos de seguridad y cumplimiento con roles entre cuentas de auditor (solo lectura) y administrador (acceso completo) en todas las cuentas de la zona de aterrizaje. Estos roles están pensados para que los utilicen los equipos de seguridad y cumplimiento a fin de:

  • Realice auditorías mediante AWS mecanismos, como el alojamiento de funciones Lambda de AWS Config reglas personalizadas.

  • Realizar operaciones de seguridad automatizadas, como acciones de corrección.

La cuenta de auditoría también recibe notificaciones a través del servicio Amazon Simple Notification Service (Amazon SNS). Se pueden recibir tres categorías de notificaciones:

  • Todos los eventos de configuración: en este tema se agrupan todos los eventos de configuración CloudTrail y AWS Config las notificaciones de todas las cuentas de tu landing zone.

  • Notificaciones de seguridad agregadas: en este tema se agrupan todas las notificaciones de seguridad de CloudWatch eventos específicos, eventos de cambios en el estado de Reglas de AWS Config cumplimiento y GuardDuty hallazgos.

  • Notificaciones de derrape: en este tema se recopilan todas las advertencias de derrape descubiertas en todas las cuentas OUs, usuarios y SCPs en tu landing zone. Para obtener más información sobre derivación, consulte Detección y resolución de desviaciones en AWS Control Tower.

Las notificaciones de auditoría que se activan en una cuenta de miembro también pueden enviar alertas a un tema local de Amazon SNS. Esta funcionalidad permite a los administradores de cuentas suscribirse a notificaciones de auditoría específicas de una cuenta de miembro individual. Como resultado, los administradores pueden resolver los problemas que afectan a una cuenta individual y, al mismo tiempo, agregar todas las notificaciones de la cuenta a la cuenta de auditoría centralizada. Para obtener más información, consulte la Guía para desarrolladores de Amazon Simple Notification Service.

Para obtener más información sobre los roles y los recursos disponibles en la cuenta de auditoría, consulte Recursos de cuentas de auditoría.

Para obtener más información sobre la auditoría mediante programación, consulte Roles mediante programación y relaciones de confianza de la cuenta de auditoría de AWS Control Tower.

importante

La dirección de correo electrónico que facilite para la cuenta de auditoría recibirá correos electrónicos de Notificación de AWS : confirmación de suscripción de todas las Región de AWS admitidas por AWS Control Tower. Para recibir correos electrónicos de conformidad en su cuenta de auditoría, debe elegir el enlace Confirmar suscripción incluido en cada correo electrónico de cada correo electrónico Región de AWS compatible con AWS Control Tower.