Consultez vos comptes À propos des comptes partagés À propos des comptes de membres

À proposComptes AWSdans AWS Control Tower

UnCompte AWSest le conteneur pour toutes vos propres ressources. Ces ressources incluentAWS Identity and Access Management(IAM) identités acceptées par le compte, qui déterminent qui a accès à ce compte. Les identités IAM peuvent inclure des utilisateurs, des groupes, des rôles, etc. Pour plus d'informations sur l'utilisation de l'IAM, des utilisateurs, des rôles et des politiques dans AWS Control Tower, voirGestion des identités et des accès dans AWS Control Tower.

Ressources et délai de création du compte

Lorsqu'AWS Control Tower crée ou inscrit un compte, elle déploie la configuration de ressources minimale nécessaire pour le compte, y compris des ressources sous la forme deModèles Account Factoryet d'autres ressources de votre zone de landing zone. Ces ressources peuvent inclure des rôles IAM,AWS CloudTraildes sentiers,Produits fournis par Service Catalog, et d'utilisateurs du service IAM Identity Center. AWS Control Tower déploie également des ressources, conformément à la configuration de contrôle, pour l'unité organisationnelle (UO) dans laquelle le nouveau compte est destiné à devenir un compte membre.

AWS Control Tower orchestre le déploiement de ces ressources en votre nom. Le déploiement peut prendre plusieurs minutes par ressource. Tenez donc compte du temps total avant de créer ou d'inscrire un compte. Pour plus d'informations sur la gestion des ressources de vos comptes, voirConseils pour créer et modifier les ressources AWS Control Tower.

Consultez vos comptes

LeOrganisationCette page répertorie toutes les unités d'organisation et tous les comptes de votre organisation, quel que soit l'unité d'organisation ou le statut d'inscription dans AWS Control Tower. Vous pouvez consulter et inscrire les comptes membres dans AWS Control Tower, individuellement ou par groupes d'unités d'organisation, si chaque compte répond aux conditions requises pour l'inscription.

Pour consulter un compte spécifique surOrganisationpage, vous pouvez choisirComptes uniquementdans le menu déroulant en haut à droite, puis sélectionnez le nom de votre compte dans le tableau. Vous pouvez également sélectionner le nom de l'unité d'organisation parent dans le tableau et consulter la liste de tous les comptes de cette unité d'organisation sur leDétailspage pour cette unité d'organisation.

Sur leOrganisationpage et laInformations du comptepage, vous pouvez voir la page du compteÉtat, qui est l'un d'entre eux :

Non inscrit— Le compte est membre de l'unité d'organisation parent, mais il n'est pas entièrement géré par AWS Control Tower. Si l'unité d'organisation parent est enregistrée, le compte est régi par les contrôles préventifs configurés pour son unité d'organisation parent enregistrée, mais les contrôles de détection de l'unité d'organisation ne s'appliquent pas à ce compte. Si l'unité d'organisation parent n'est pas enregistrée, aucun contrôle ne s'applique à ce compte.
S'inscrire— La gouvernance du compte se fait par le biais du service AWS Control Tower. Nous alignons le compte sur la configuration de contrôle de l'unité d'organisation parent. Ce processus peut nécessiter plusieurs minutes par ressource du compte.
Inscrits— Le compte est régi par les commandes configurées pour son unité d'organisation parent. Il est entièrement géré par AWS Control Tower.
L'inscription a échoué— Le compte n'a pas pu être inscrit dans AWS Control Tower. Pour plus d'informations, veuillez consulter Causes courantes de non-inscription.
Mise à jour disponible— Une mise à jour est disponible sur le compte. Les comptes dans cet état sont toujoursInscrits, mais le compte doit être mis à jour pour refléter les modifications récentes apportées à votre environnement. Pour mettre à jour un seul compte, accédez à la page détaillée du compte et sélectionnezMettre à jour le compte.

Si vous possédez plusieurs comptes dotés de cet état dans le cadre d'une même unité d'organisation, vous pouvez choisir deRéinscrivez-vousl'UO et mettez à jour ces comptes ensemble.

À propos des comptes partagés

Trois offres spécialesComptes AWSsont associés à AWS Control Tower ; le compte de gestion, leauditcompte, et learchive de journalcompte. Ces comptes sont généralement appeléscomptes partagés, ou parfois commecomptes principaux.

Vous pouvez sélectionner des noms personnalisés pour les comptes d'audit et d'archivage des journaux lorsque vous configurez votre zone de landing zone. Pour plus d'informations sur la modification du nom d'un compte, voirModification externe des noms des ressources AWS Control Tower.
Vous pouvez également spécifier un existantCompte AWSen tant que compte de sécurité ou de journalisation AWS Control Tower, lors du processus initial de configuration de la zone de landing zone. Grâce à cette option, AWS Control Tower n'a plus besoin de créer de nouveaux comptes partagés. (Il s'agit d'une sélection unique.)

Pour plus d'informations sur les comptes partagés et leurs ressources associées, voirQue sont les comptes partagés ?

Considérations relatives à l'ajout de comptes de sécurité ou de journalisation existants

Avant d'accepter unCompte AWSen tant que compte de sécurité ou de journalisation, AWS Control Tower vérifie si les ressources du compte ne sont pas en conflit avec les exigences d'AWS Control Tower. Par exemple, vous pouvez avoir un bucket de journalisation portant le même nom que celui requis par AWS Control Tower. AWS Control Tower vérifie également que le compte peut fournir des ressources, par exemple en s'assurant queAWS Security Token Service(AWS STS) est activé, que le compte n'est pas suspendu et qu'AWS Control Tower est autorisé à fournir des ressources au sein du compte.

AWS Control Tower ne supprime aucune ressource existante dans les comptes de journalisation et de sécurité que vous fournissez. Toutefois, si vous choisissez d'activerRégion AWScapacité de refus, le contrôle de refus des régions empêche l'accès aux ressources dans les régions interdites.

Compte de gestion

CeCompte AWSlance AWS Control Tower. Par défaut, l'utilisateur root de ce compte et l'utilisateur IAM ou l'utilisateur administrateur IAM de ce compte ont un accès complet à toutes les ressources de votre zone de landing zone.

Note

La meilleure pratique consiste à vous connecter en tant qu'utilisateur du service IAM Identity Center avecAdministrateurprivilèges lors de l'exécution de fonctions administratives dans la console AWS Control Tower, au lieu de se connecter en tant qu'utilisateur root ou administrateur IAM pour ce compte.

Pour plus d'informations sur les rôles et les ressources disponibles dans le compte de gestion, voirQu'est-ce que le compte de gestion ?

Compte d'archivage des journaux

Le compte partagé d'archivage du journal est configuré automatiquement lorsque vous créez votre zone de landing zone.

Ce compte contient un compartiment Amazon S3 central permettant de stocker une copie de tousAWS CloudTrailetAWS Configdes fichiers journaux pour tous les autres comptes de votre zone de landing zone. À titre de bonne pratique, nous recommandons de restreindre l'accès aux comptes d'archivage des journaux aux équipes chargées de la conformité et des enquêtes, ainsi qu'à leurs outils de sécurité ou d'audit associés. Ce compte peut être utilisé pour des audits de sécurité automatisés ou pour héberger des sites personnalisésAWS Config Rules, telles que les fonctions Lambda, pour effectuer des actions de correction.

Pour plus d'informations sur les rôles et les ressources disponibles dans le compte d'archivage des journaux, voirQu'est-ce que le compte d'archivage des journaux ?

Note

Ces journaux ne peuvent pas être modifiés. Tous les journaux sont conservés à des fins d'audit et d'enquêtes de conformité liées à l'activité du compte.

Compte d'audit

Ce compte partagé est configuré automatiquement lorsque vous créez votre zone de landing zone.

Le compte d'audit doit être réservé aux équipes chargées de la sécurité et de la conformité ayant des rôles intercomptes d'auditeur (lecture seule) et d'administrateur (accès complet) pour tous les comptes de la zone de landing zone. Ces rôles sont destinés à être utilisés par les équipes de sécurité et de conformité pour :

Réalisez des audits viaAWSmécanismes, tels que l'hébergement personnaliséAWS Configrègle les fonctions Lambda.
Effectuez des opérations de sécurité automatisées, telles que des actions correctives.

Le compte d'audit reçoit également des notifications via Amazon Simple Notification Service (Amazon SNS). Trois catégories de notifications peuvent être reçues :

Tous les événements de configuration— Cette rubrique regroupe tous CloudTrail etAWS Confignotifications provenant de tous les comptes de votre zone de landing zone.
Notification de sécurité agrégée— Cette rubrique regroupe toutes les notifications de sécurité provenant de CloudWatch événements,AWS Config Rulesles événements de modification de l'état de conformité, et GuardDuty résultats.
Notification de dérive— Cette rubrique regroupe tous les avertissements de dérive découverts sur tous les comptes, utilisateurs, unités d'organisation et SCP de votre zone de landing zone. Pour plus d'informations sur la dérive, voirDétectez et corrigez les dérives dans AWS Control Tower.

Les notifications d'audit déclenchées au sein d'un compte membre peuvent également envoyer des alertes à une rubrique Amazon SNS locale. Cette fonctionnalité permet aux administrateurs de compte de s'abonner aux notifications d'audit spécifiques à un compte de membre individuel. Les administrateurs peuvent ainsi résoudre les problèmes qui concernent un compte individuel, tout en regroupant toutes les notifications de compte sur votre compte d'audit centralisé. Pour plus d'informations, consultez le Guide du développeur Amazon Simple Notification Service.

Pour plus d'informations sur les rôles et les ressources disponibles dans le compte d'audit, voirQu'est-ce que le compte d'audit ?Voir égalementRôles programmatiques et relations de confiance pour le compte d'audit AWS Control Tower.

Important

L'adresse e-mail que vous avez fournie pour le compte d'audit reçoitAWSNotification - Confirmation d'abonnemente-mails provenant de tousRégion AWSpris en charge par AWS Control Tower. Pour recevoir des e-mails de conformité sur votre compte d'audit, vous devez sélectionnerConfirmer l'abonnementlien dans chaque e-mail de chaqueRégion AWSpris en charge par AWS Control Tower.

À propos des comptes de membres

Les comptes de membre sont les comptes par le biais desquels vos utilisateurs exécutent leursAWScharges de travail. Ces comptes membres peuvent être créés dans Account Factory, par les utilisateurs d'IAM Identity Center avecAdministrateurprivilèges dans la console Service Catalog ou par des méthodes automatisées. Une fois créés, ces comptes membres existent dans une unité d'organisation créée dans la console AWS Control Tower ou enregistrée auprès d'AWS Control Tower. Pour plus d'informations, consultez les rubriques connexes suivantes :

Provisionner et gérer des comptes avec Account Factory
Automatisez les tâches dans AWS Control Tower
AWSOrganisations : terminologie et conceptsdans leAWS OrganizationsGuide de l'utilisateur.

Voir aussi Provisionnez des comptes avec AWS Control Tower Account Factory pour Terraform (AFT) .

Comptes et contrôles

Les comptes des membres peuvent êtreinscritsdans AWS Control Tower, ou ils peuvent êtredésinscrit. Les contrôles s'appliquent différemment aux comptes inscrits et non inscrits, et les contrôles peuvent s'appliquer aux comptes des unités d'organisation imbriquées sur la base de l'héritage.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Comptes

Inscrire unCompte AWS