À proposAWScomptes dans AWS Control Tower - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

À proposAWScomptes dans AWS Control Tower

UnCompte AWSest le conteneur de toutes vos ressources. Ces ressources incluent leAWS Identity and Access Management(IAM) les identités acceptées par le compte, qui déterminent qui a accès à ce compte. Les identités IAM peuvent inclure des utilisateurs, des groupes, des rôles, etc. Pour plus d'informations sur l'utilisation d'IAM, les utilisateurs, les rôles et les stratégies dans AWS Control TowerIdentity and Access Management dans AWS Control Tower.

Ressources et délai de création du compte

Lorsqu'AWS Control Tower crée ou inscrit un compte, elle déploie la configuration de ressources minimale nécessaire pour le compte, y compris les ressources sous la forme deModèles Account Factoryet d'autres ressources dans votre landing zone. Ces ressources peuvent inclure des rôles IAM,AWS CloudTraildes sentiers,AWS Service Catalogproduits provisionnés, et les utilisateurs d'IAM Identity Center. AWS Control Tower déploie également des ressources, comme l'exige la configuration du garde-corps, pour l'unité d'organisation dans laquelle le nouveau compte est destiné à devenir un compte membre.

AWS Control Tower Le déploiement peut prendre plusieurs minutes par ressource. Pensez donc au temps total qui s'écoule avant de créer ou d'inscrire un compte. Pour plus d'informations sur la gestion des ressources de vos comptes, consultez.Conseils pour créer et modifier les ressources de la AWS Control Tower.

Afficher vos comptes

Dans laOrganizationCette page répertorie toutes les unités d'organisation et tous les comptes de votre organisation, indépendamment de l'unité d'organisation ou du statut d'inscription dans AWS Control Tower. Vous pouvez consulter et inscrire les comptes des membres dans AWS Control Tower, individuellement ou par groupes d'unités d'organisation, si chaque compte répond aux conditions requises pour l'inscription.

Pour afficher un compte spécifique sur leOrganizationpage, vous pouvez choisirComptes uniquementdans le menu déroulant en haut à droite, puis sélectionnez le nom de votre compte dans le tableau. Vous pouvez également sélectionner le nom de l'unité d'organisation mère dans le tableau et consulter la liste de tous les comptes au sein de cette unité d'organisation sur leDétailspage pour cette unité d'organisation.

Sur leOrganizationet leDétails du compte, vous pouvez voir le compteÉtat, qui est l'un de ceux-ci :

  • Non inscrit— Le compte est membre de l'unité d'organisation mère, mais il n'est pas entièrement géré par AWS Control Tower. Si l'unité d'organisation mère est enregistrée, le compte est régi par les garde-fous préventifs configurés pour son unité d'organisation mère enregistrée, mais les garde-fous de détection de l'unité d'organisation ne s'appliquent pas à ce compte. Si l'unité d'organisation mère n'est pas enregistrée, aucun garde-fou ne s'applique à ce compte.

  • S'inscrire— Votre compte est géré par AWS Control Tower. Nous alignons le compte sur la configuration de garde-corps de l'unité d'organisation mère. Ce processus peut nécessiter plusieurs minutes par ressource du compte.

  • Inscrit— Le compte est régi par les garde-fous configurés pour son unité d'organisation mère. Il est entièrement géré par AWS Control Tower.

  • Échec d'inscription— AWS Control Tower n'a pas pu enregistrer le compte. Pour plus d'informations, consultez Causes courantes d'échec de l'inscription.

  • Mise à jour disponible— Ce compte peut être mis à jour. Les comptes dans cet état sont toujoursInscrit, mais le compte doit être mis à jour pour refléter les récentes modifications apportées à votre environnement. Pour mettre à jour un seul compte, accédez à la page détaillée du compte et sélectionnezMettre le compte à.

    Si vous avez plusieurs comptes avec cet état sous une même unité d'organisation, vous pouvez choisir deRéenregistrez-vousl'unité d'organisation et mettez à jour ces comptes ensemble.

À propos des comptes partagés

Trois spéciauxAWSles comptes sont associés à AWS Control Tower ; le compte de gestion,auditcompte, et learchives de journauxcompte. Ces comptes sont généralement appeléscomptes partagés, ou parfois en tant quecomptes de base.

  • Vous pouvez sélectionner des noms personnalisés pour les comptes d'audit et d'archivage des journaux lorsque vous configurez votre landing zone, mais vous ne pouvez pas modifier les noms après la configuration. (Il s'agit d'une sélection ponctuelle.)

  • Vous pouvez également spécifier unAWScompte en tant que compte de sécurité ou de journalisation d'AWS Control Tower, lors du processus initial de configuration de la landing zone. Cette option évite à AWS Control Tower de créer de nouveaux comptes partagés. (Il s'agit d'une sélection ponctuelle.)

Pour plus d'informations sur les comptes partagés et les ressources associées, consultez.Que sont les comptes partagés ?

Considérations relatives à l'intégration de comptes de sécurité ou d'enregistrement

Avant d'accepter unAWScompte en tant que compte de sécurité ou de connexion, AWS Control Tower vérifie le compte pour détecter les ressources qui entrent en conflit avec les exigences de la AWS Control Tower. Par exemple, vous pouvez disposer d'un compartiment de journalisation portant le même nom que celui requis par AWS Control Tower. De plus, AWS Control Tower confirme que le compte peut fournir des ressources ; par exemple, en s'assurant queAWS STSest activé, que le compte n'est pas suspendu et qu'AWS Control Tower est autorisée à fournir des ressources au sein du compte.

AWS Control Tower ne supprime aucune ressource existante dans les comptes de journalisation et de sécurité que vous fournissez. Toutefois, si vous choisissez d'activer la fonctionnalité de refus de région, la glissière de sécurité de refus de région empêche l'accès aux ressources des régions refusées.

Compte de gestion

CeCompte AWSlance AWS Control Tower Par défaut, l'utilisateur root de ce compte et l'utilisateur administrateur IAM de ce compte ont un accès complet à toutes les ressources de votre landing zone.

Note

En guise de bonne pratique, nous vous recommandons de vous connecter en tant qu'utilisateur IAM Identity CenterAdministrateurprivilèges lors de l'exécution de fonctions administratives dans la console de gestion AWS Control Tower, au lieu de se connecter en tant qu'utilisateur root ou administrateur IAM pour ce compte.

Pour plus d'informations sur les rôles et les ressources disponibles dans le compte de gestion, consultez.Qu'est-ce que le compte de gestion ?

Compte d'archivage des journaux

Ce compte partagé est configuré automatiquement lorsque vous créez votre landing zone.

Ce compte contient un compartiment Amazon S3 central pour stocker une copie de tousAWS CloudTrailetAWS Configfichiers journaux pour tous les autres comptes de votre landing zone. À titre de bonne pratique, nous recommandons de restreindre l'accès aux comptes d'archivage des journaux aux équipes chargées de la conformité et des enquêtes, ainsi qu'à leurs outils de sécurité ou d'audit associés. Ce compte peut être utilisé pour des audits de sécurité automatisés ou pour héberger des clients personnalisésAWS Config Rules, telles que les fonctions Lambda, pour effectuer des actions correctives.

Pour plus d'informations sur les rôles et les ressources disponibles dans le compte d'archivage des journaux, voirQu'est-ce que le compte d'archivage des journaux ?

Note

Ces journaux ne peuvent pas être modifiés. Tous les journaux sont stockés à des fins d'audit et d'enquêtes de conformité liées à l'activité du compte.

Compte d'audit

Ce compte partagé est configuré automatiquement lorsque vous créez votre landing zone.

Le compte d'audit doit être réservé aux équipes de sécurité et de conformité dotées de rôles d'auditeur (lecture seule) et d'administrateur (accès complet) sur tous les comptes de la landing zone. Ces rôles sont destinés à être utilisés par les équipes de sécurité et de conformité pour :

  • Réaliser des audits viaAWSdes mécanismes, tels que l'hébergement personnaliséAWS Configrègle les fonctions Lambda.

  • Effectuez des opérations de sécurité automatisées, telles que des actions correctives.

Le compte d'audit reçoit également des notifications via le Simple Notification Service (Amazon SNS). Trois catégories de notifications peuvent être reçues :

  • Tous les événements de configuration— Cette rubrique regroupe tous CloudTrail etAWS Configdes notifications provenant de tous les comptes de votre landing zone.

  • Notifications de sécurité— Cette rubrique regroupe toutes les notifications de sécurité provenant de CloudWatch événements,AWS Config Rulesévénements de modification de l'état de conformité, et GuardDuty résultats.

  • Notification de dérive— Cette rubrique regroupe tous les avertissements de dérive découverts pour tous les comptes, utilisateurs, unités d'organisation et SCP de votre landing zone. Pour plus d'informations sur la dérive, consultez.Détecter et résoudre les dérives dans AWS Control Tower.

Les notifications d'audit qui sont déclenchées sur le compte d'un membre peuvent également envoyer des alertes à une rubrique Amazon SNS locale. Cette fonctionnalité permet aux administrateurs de compte de s'abonner aux notifications d'audit spécifiques à un compte de membre individuel. Par conséquent, les administrateurs peuvent résoudre les problèmes qui affectent un compte individuel, tout en regroupant toutes les notifications de compte dans votre compte d'audit centralisé. Pour plus d'informations, consultez le Guide du développeur Amazon Simple Notification Service.

Pour plus d'informations sur les rôles et les ressources disponibles dans le compte d'audit, consultez.Qu'est-ce que le compte d'audit ?Voir aussiRôles programmatiques et relations de confiance pour le compte d'audit AWS Control Tower.

Important

L'adresse e-mail que vous avez fournie pour le compte d'audit reçoitAWSNotification - Confirmation d'abonnemente-mails de tousAWSRégion prise en charge par AWS Control Tower Pour recevoir des e-mails de conformité sur votre compte d'audit, vous devez sélectionnerConfirmer l'abonnementlien dans chaque e-mail de chaqueAWSRégion prise en charge par AWS Control Tower

À propos des comptes membres

Les comptes membres sont les comptes par le biais desquels vos utilisateurs effectuent leursAWScharges de travail. Ces comptes de membres peuvent être créés dans Account Factory, par les utilisateurs d'IAM Identity Center avecAdministrateurPrivilèges dans leAWS Service Catalogconsole, ou par des méthodes automatisées. Une fois créés, ces comptes de membres existent dans une unité d'organisation créée dans la console AWS Control Tower ou enregistrée auprès d'AWS Control Tower. Pour plus d'informations, consultez les rubriques connexes suivantes :

Voir aussi Provisionnez des comptes avec AWS Control Tower Account Factory pour Terraform.

Comptes et protection de protection

Les comptes des membres peuvent êtreinscritsdans AWS Control Tower, ou ils peuvent êtrenon inscrit. Les garde-fous s'appliquent différemment aux comptes inscrits et non inscrits, et les garde-fous peuvent s'appliquer aux comptes situés dans des unités d'organisation imbriquées en fonction de l'héritage.