Le AWSControl TowerExecution rôle, expliqué - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Le AWSControl TowerExecution rôle, expliqué

Le rôle AWSControlTowerExecution doit être présent dans tous les comptes inscrits. Il permet à AWS Control Tower de gérer vos comptes individuels et de communiquer les informations les concernant à vos comptes d'audit et d'archivage des journaux.

Le AWSControlTowerExecution rôle peut être ajouté à un compte de différentes manières, comme suit :

  • Pour les comptes de l'unité d'organisation de sécurité (parfois appelés comptes principaux), AWS Control Tower crée le rôle au moment de la configuration initiale d'AWS Control Tower.

  • Pour un compte Account Factory créé via la console AWS Control Tower, AWS Control Tower crée ce rôle au moment de la création du compte.

  • Pour l'inscription d'un compte unique, nous demandons aux clients de créer manuellement le rôle, puis d'inscrire le compte dans AWS Control Tower.

  • Lors de l'extension de la gouvernance à une unité d'organisation, AWS Control Tower utilise le StackSet- AWSControl TowerExecutionRole pour créer le rôle dans tous les comptes de cette unité d'organisation.

Objectif du AWSControlTowerExecution rôle :

  • AWSControlTowerExecutionvous permet de créer et d'inscrire des comptes, automatiquement, à l'aide de scripts et de fonctions Lambda.

  • AWSControlTowerExecution permet de configurer la journalisation de votre organisation, de sorte que tous les journaux de chaque compte soient envoyés au compte de journalisation.

  • AWSControlTowerExecutionvous permet d'enregistrer un compte individuel dans AWS Control Tower. Tout d'abord, vous devez ajouter le AWSControlTowerExecution rôle à ce compte. Pour savoir comment ajouter le rôle, consultezAjoutez manuellement le rôle IAM requis à un rôle existant Compte AWS et inscrivez-le.

Fonctionnement du AWSControlTowerExecution rôle avec OUs :

Ce AWSControlTowerExecution rôle garantit que les contrôles AWS Control Tower que vous avez sélectionnés s'appliquent automatiquement à chaque compte individuel, dans chaque unité d'organisation, de votre organisation, ainsi qu'à chaque nouveau compte que vous créez dans AWS Control Tower. En conséquence  :

  • Vous pouvez fournir des rapports de conformité et de sécurité plus facilement, en vous basant sur les fonctionnalités d'audit et de journalisation intégrées aux contrôles d'AWS Control Tower.

  • Vos équipes de sécurité et de conformité peuvent vérifier que toutes les exigences sont satisfaites et qu'aucune dérive organisationnelle ne s'est produite.

Pour plus d'informations sur la dérive, consultez Détecter et résoudre la dérive dans AWS Control Tower.

En résumé, le rôle AWSControlTowerExecution et la stratégie qui lui est associée vous offrent un contrôle flexible de la sécurité et de la conformité dans l'ensemble de votre organisation. Par conséquent, les violations de sécurité ou de protocole sont moins susceptibles de se produire.