Comptes AWS À propos d'AWS Control Tower - AWS Control Tower
Considérations relatives à l'ajout de comptes de sécurité ou de journalisation existantsÀ propos des comptes partagés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comptes AWS À propos d'AWS Control Tower

An Compte AWS est le conteneur pour toutes vos propres ressources. Ces ressources incluent les identités AWS Identity and Access Management (IAM) acceptées par le compte, qui déterminent qui a accès à ce compte. Les identités IAM peuvent inclure des utilisateurs, des groupes, des rôles, etc. Pour plus d'informations sur l'utilisation de l'IAM, les utilisateurs, les rôles et les politiques dans AWS Control Tower, consultez la section Gestion des identités et des accès dans AWS Control Tower.

Ressources et délai de création du compte

Lorsqu'AWS Control Tower crée ou inscrit un compte, elle déploie la configuration de ressources minimale nécessaire pour le compte, y compris des ressources sous la forme de modèles Account Factory et d'autres ressources dans votre zone de landing zone. Ces ressources peuvent inclure des rôles IAM, des AWS CloudTrail pistes, des produits fournis par Service Catalog et des utilisateurs d'IAM Identity Center. AWS Control Tower déploie également des ressources, conformément à la configuration de contrôle, pour l'unité organisationnelle (UO) dans laquelle le nouveau compte est destiné à devenir un compte membre.

AWS Control Tower orchestre le déploiement de ces ressources en votre nom. Le déploiement peut prendre plusieurs minutes par ressource. Tenez donc compte du temps total avant de créer ou d'inscrire un compte. Pour plus d'informations sur la gestion des ressources de vos comptes, consultezConseils pour la création et la modification des ressources AWS Control Tower.

Considérations relatives à l'ajout de comptes de sécurité ou de journalisation existants

Avant d'accepter un compte Compte AWS en tant que compte de sécurité ou de connexion, AWS Control Tower vérifie si le compte contient des ressources en conflit avec les exigences d'AWS Control Tower. Par exemple, vous pouvez avoir un bucket de journalisation portant le même nom que celui requis par AWS Control Tower. AWS Control Tower vérifie également que le compte peut fournir des ressources ; par exemple, en s'assurant que AWS Security Token Service (AWS STS) est activé, que le compte n'est pas suspendu et qu'AWS Control Tower est autorisée à fournir des ressources au sein du compte.

AWS Control Tower ne supprime aucune ressource existante dans les comptes de journalisation et de sécurité que vous fournissez. Toutefois, si vous choisissez d'activer la fonctionnalité de Région AWS refus, le contrôle de refus par région empêche l'accès aux ressources dans les régions interdites.

À propos des comptes partagés

Trois offres spéciales Comptes AWS sont associées à AWS Control Tower : le compte de gestion, le compte d'audit et le compte d'archivage des journaux. Ces comptes sont généralement appelés comptes partagés, ou parfois comptes principaux.

  • Vous pouvez sélectionner des noms personnalisés pour les comptes d'audit et d'archivage des journaux lorsque vous configurez votre zone de landing zone. Pour plus d'informations sur la modification du nom d'un compte, consultez Modification externe des noms de ressources AWS Control Tower.

  • Vous pouvez également spécifier un compte existant Compte AWS en tant que compte de sécurité ou de journalisation AWS Control Tower, lors du processus de configuration initiale de la zone de landing zone. Grâce à cette option, AWS Control Tower n'a plus besoin de créer de nouveaux comptes partagés. (Il s'agit d'une sélection unique.)

Pour plus d'informations sur les comptes partagés et leurs ressources associées, consultezRessources créées dans les comptes partagés.

Compte de gestion

Cela Compte AWS lance AWS Control Tower. Par défaut, l'utilisateur root de ce compte et l'utilisateur IAM ou l'utilisateur administrateur IAM de ce compte ont un accès complet à toutes les ressources de votre zone de landing zone.

Note

Il est recommandé de vous connecter en tant qu'utilisateur IAM Identity Center avec des privilèges d'administrateur lorsque vous effectuez des tâches administratives dans la console AWS Control Tower, au lieu de vous connecter en tant qu'utilisateur root ou administrateur IAM pour ce compte.

Pour plus d'informations sur les rôles et les ressources disponibles dans le compte de gestion, consultezRessources créées dans les comptes partagés.

Compte d'archivage des journaux

Le compte partagé d'archivage du journal est configuré automatiquement lorsque vous créez votre zone de landing zone.

Ce compte contient un compartiment Amazon S3 central permettant de stocker une copie de tous les comptes AWS CloudTrail et les fichiers AWS Config journaux de tous les autres comptes de votre zone de landing zone. À titre de bonne pratique, nous recommandons de restreindre l'accès aux comptes d'archivage des journaux aux équipes chargées de la conformité et des enquêtes, ainsi qu'à leurs outils de sécurité ou d'audit associés. Ce compte peut être utilisé pour des audits de sécurité automatisés ou pour héberger des fonctionnalités personnalisées AWS Config Rules, telles que des fonctions Lambda, afin d'effectuer des actions correctives.

Politique relative aux compartiments Amazon S3

Pour la version 3.3 et les versions ultérieures d'AWS Control Tower landing zone, les comptes doivent remplir une aws:SourceOrgID condition pour toute autorisation d'écriture dans votre compartiment d'audit. Cette condition garantit que CloudTrail seuls les journaux peuvent être écrits pour le compte de comptes au sein de votre organisation dans votre compartiment S3 ; elle empêche CloudTrail les journaux extérieurs à votre organisation d'écrire dans votre compartiment AWS Control Tower S3. Pour de plus amples informations, veuillez consulter Zone de landing zone d'AWS Control Tower, version 3.3.

Pour plus d'informations sur les rôles et les ressources disponibles dans le compte d'archivage des journaux, voir Archiver les ressources du compte

Note

Ces journaux ne peuvent pas être modifiés. Tous les journaux sont conservés à des fins d'audit et d'enquêtes de conformité liées à l'activité du compte.

Compte d'audit

Ce compte partagé est configuré automatiquement lorsque vous créez votre zone de landing zone.

Le compte d'audit doit être réservé aux équipes chargées de la sécurité et de la conformité ayant des rôles intercomptes d'auditeur (lecture seule) et d'administrateur (accès complet) pour tous les comptes de la zone de landing zone. Ces rôles sont destinés à être utilisés par les équipes de sécurité et de conformité pour :

  • Réalisez des audits par le biais de AWS mécanismes tels que l'hébergement de fonctions Lambda basées sur des AWS Config règles personnalisées.

  • Effectuez des opérations de sécurité automatisées, telles que des actions correctives.

Le compte d'audit reçoit également des notifications via le service Amazon Simple Notification Service (Amazon SNS). Trois catégories de notifications peuvent être reçues :

  • Tous les événements de configuration : cette rubrique regroupe toutes les AWS Config notifications CloudTrail de tous les comptes de votre zone de landing zone.

  • Notifications de sécurité agrégées : cette rubrique regroupe toutes les notifications de sécurité relatives à des CloudWatch événements spécifiques, à des événements de modification du statut de AWS Config Rules conformité et à des GuardDuty résultats.

  • Notifications de dérive : cette rubrique regroupe tous les avertissements de dérive découverts sur tous les comptes, utilisateurs, unités d'organisation et SCP de votre zone d'atterrissage. Pour plus d'informations sur la dérive, voirDétectez et corrigez les dérives dans AWS Control Tower.

Les notifications d'audit déclenchées au sein d'un compte membre peuvent également envoyer des alertes à une rubrique Amazon SNS locale. Cette fonctionnalité permet aux administrateurs de compte de s'abonner aux notifications d'audit spécifiques à un compte de membre individuel. Les administrateurs peuvent ainsi résoudre les problèmes qui concernent un compte individuel, tout en regroupant toutes les notifications de compte sur votre compte d'audit centralisé. Pour plus d'informations, consultez le Guide du développeur Amazon Simple Notification Service.

Pour plus d'informations sur les rôles et les ressources disponibles dans le compte d'audit, consultezRessources du compte d'audit.

Pour plus d'informations sur l'audit programmatique, consultezRôles programmatiques et relations de confiance pour le compte d'audit AWS Control Tower.

Important

L'adresse e-mail que vous avez fournie pour le compte d'audit reçoit des e-mails de AWS notification et de confirmation d'abonnement de la part de toutes les Région AWS entreprises prises en charge par AWS Control Tower. Pour recevoir des e-mails de conformité sur votre compte d'audit, vous devez choisir le lien de confirmation d'abonnement contenu dans chaque e-mail provenant de chaque e-mail Région AWS pris en charge par AWS Control Tower.