Personalice la zona de aterrizaje de su AWS Control Tower

Algunos aspectos de la zona de aterrizaje de la AWS Control Tower se pueden configurar en la consola, como la selección de regiones y los controles opcionales. Se pueden realizar otros cambios fuera de la consola, con automatización.

Por ejemplo, puede crear personalizaciones más amplias de su zona de aterrizaje con la función Customizations for AWS Control Tower, un marco de personalización de GitOps estilo que funciona con AWS CloudFormation plantillas y eventos del ciclo de vida de AWS Control Tower.

Personalice desde la consola de AWS Control Tower

Para realizar estas personalizaciones en su landing zone, siga los pasos que se indican en la consola de AWS Control Tower.

Seleccione nombres personalizados durante la configuración

• Puede seleccionar los nombres de sus unidades organizativas de nivel superior durante la configuración. Puede cambiar el nombre de las unidades organizativas en cualquier momento mediante la AWS Organizations consola, pero si las modifica, es AWS Organizations posible que se produzcan desviaciones reparables.

• Puede seleccionar los nombres de sus cuentas compartidas de Audit y Log Archive, pero no puede cambiarlos después de la configuración. (Esta selección se realiza una sola vez).

Sugerencia

Recuerde que cambiar el nombre de una OU AWS Organizations no actualiza el producto aprovisionado correspondiente en Account Factory. Para actualizar automáticamente el producto aprovisionado (y evitar desviaciones), debe realizar la operación de la OU a través de AWS Control Tower, lo que incluye crear, eliminar o volver a registrar una OU.

Seleccione regiones AWS

• Puedes personalizar tu landing zone seleccionando AWS regiones específicas para su gobierno. Siga los pasos de la consola de la Torre de Control de AWS.

• Puedes seleccionar y deseleccionar AWS regiones para su gobierno al actualizar tu landing zone.

• Puede configurar el control de denegación regional como Habilitado o No habilitado, y controlar el acceso de los usuarios a la mayoría de los AWS servicios en las regiones no gobernadas AWS .

Para obtener información sobre las Regiones de AWS limitaciones de implementación de cFCT, consulte. Limitaciones de control

Personalice añadiendo controles opcionales

• Los controles opcionales y altamente recomendados son opcionales, lo que significa que puedes personalizar el nivel de cumplimiento de tu landing zone eligiendo cuáles quieres habilitar. Los controles opcionales no están activados de forma predeterminada.

• Los controles de residencia de datos opcionales le permiten personalizar las regiones en las que almacena sus datos y permitir el acceso a ellos.

• Los controles opcionales que forman parte del estándar Security Hub integrado le permiten escanear el entorno de la Torre de Control de AWS para comprobar si hay riesgos de seguridad.

• Los controles proactivos opcionales le permiten comprobar sus AWS CloudFormation recursos antes de aprovisionarlos para asegurarse de que los nuevos recursos cumplen con los objetivos de control de su entorno.

Personaliza tus rutas AWS CloudTrail

• Al actualizar su landing zone a la versión 3.0 o posterior, puede optar por participar o excluirse de las CloudTrail rutas a nivel de organización gestionadas por AWS Control Tower. Puedes cambiar esta selección cada vez que actualices tu landing zone. AWS Control Tower crea un registro a nivel de organización en su cuenta de administración y ese registro pasa al estado activo o inactivo, según su elección. La zona de aterrizaje 3.0 no admite CloudTrail senderos a nivel de cuenta; sin embargo, si los necesita, puede configurar y administrar sus propios senderos. Si se duplican los senderos, es posible que tengas que pagar un coste adicional.

Cree cuentas de miembros personalizadas en la consola

• Puede crear cuentas de miembros de la Torre de Control de AWS personalizadas y actualizar las cuentas de miembros existentes para añadir personalizaciones desde la consola de la Torre de Control de AWS. Para obtener más información, consulte Personaliza las cuentas con Account Factory Customization (AFC).

Automatice las personalizaciones fuera de la consola de la Torre de Control de AWS

Algunas personalizaciones no están disponibles a través de la consola de la Torre de Control de AWS, pero se pueden implementar de otras formas. Por ejemplo:

• Puede personalizar las cuentas durante el aprovisionamiento, siguiendo un flujo de trabajo GitOps similar, con Account Factory for Terraform (AFT).

  AFT se implementa con un módulo Terraform, disponible en el repositorio AFT.

• Puede personalizar la zona de aterrizaje de la Torre de Control de AWS con Customizations for AWS Control Tower (cFCT), un paquete de funciones que se basa en AWS CloudFormation plantillas y políticas de control de servicios (SCP). Puede implementar las plantillas y políticas personalizadas en cuentas individuales y unidades organizativas (OU) de su organización.

  El código fuente de cFCT está disponible en un GitHub repositorio.

Ventajas de las personalizaciones para AWS Control Tower (cFCT)

El paquete de funciones que denominamos Personalizaciones para la Torre de Control de AWS (cFCT) le ayuda a crear personalizaciones más amplias para su zona de aterrizaje que las que puede crear en la consola de AWS Control Tower. Ofrece un proceso automatizado y GitOps estilizado. Puedes remodelar tu landing zone para adaptarla a las necesidades de tu empresa.

Este proceso de infrastructure-as-codepersonalización integra las AWS CloudFormation plantillas con las políticas de control de AWS servicios (SCP) y los eventos del ciclo de vida de AWS Control Tower, de modo que sus despliegues de recursos permanezcan sincronizados con su landing zone. Por ejemplo, cuando crea una cuenta nueva con Account Factory, los recursos adjuntos a la cuenta y a la OU se pueden implementar automáticamente.

nota

A diferencia de Account Factory y AFT, cFCT no está diseñado específicamente para crear nuevas cuentas, sino para personalizar las cuentas y unidades organizativas en tu landing zone mediante el despliegue de los recursos que tú especifiques.

Ventajas

• Amplíe un AWS entorno personalizado y seguro: puede ampliar su entorno de AWS Control Tower multicuenta con mayor rapidez e incorporar las AWS mejores prácticas en un flujo de trabajo de personalización repetible.

• Cree una instancia de sus requisitos: puede personalizar la zona de aterrizaje de AWS Control Tower para adaptarla a las necesidades de su empresa, con las AWS CloudFormation plantillas y las políticas de control de servicios que expresan sus intenciones políticas.

• Automatice aún más con los eventos del ciclo de vida de AWS Control Tower: los eventos del ciclo de vida le permiten implementar recursos en función de la finalización de una serie de eventos anterior. Puede confiar en que un evento del ciclo de vida le ayudará a implementar recursos en cuentas y unidades organizativas de forma automática.

• Amplíe su arquitectura de red: puede implementar arquitecturas de red personalizadas que mejoren y protejan su conectividad, como una puerta de enlace de tránsito.

Ejemplos adicionales de cFCT

• En la entrada del blog sobre AWS arquitectura titulada Implemente un DNS coherente con las personalizaciones de Service Catalog y AWS Control Tower, se ofrece un ejemplo de uso de redes con personalizaciones para AWS Control Tower (cFCT) y AWS Control Tower.

• Un ejemplo específico relacionado con cFCT y Amazon GuardDuty está disponible GitHub en el aws-samplesrepositorio.

• Hay ejemplos de código adicionales relacionados con cFCT como parte de la arquitectura de referencia de AWS seguridad, en el aws-samples repositorio. Muchos de estos ejemplos contienen manifest.yaml archivos de muestra en un directorio denominadocustomizations_for_aws_control_tower.

Para obtener más información sobre la arquitectura AWS de referencia de seguridad, consulte las páginas de orientación AWS prescriptiva.