Personnalisation depuis la console AWS Control Tower

Pour personnaliser votre zone de landing zone, suivez les étapes indiquées par la console AWS Control Tower.

Sélectionnez des noms personnalisés lors de la configuration

• Vous pouvez sélectionner les noms de vos unités d'organisation de premier niveau lors de la configuration. Vous pouvez renommer votre identifiant OUs à tout moment à l'aide de la AWS Organizations console, mais le fait de modifier votre identifiant AWS Organizations peut OUs entraîner une dérive réparable.

• Vous pouvez sélectionner les noms de vos comptes d'audit et d'archivage des journaux partagés, mais vous ne pouvez pas les modifier après la configuration. (Il s'agit d'une sélection unique.)

Conseil

N'oubliez pas que le fait de renommer une unité d' AWS Organizations organisation ne met pas à jour le produit provisionné correspondant dans Account Factory. Pour mettre à jour automatiquement le produit provisionné (et éviter toute dérive), vous devez exécuter l'opération de l'unité d'organisation via AWS Control Tower, notamment en créant, en supprimant ou en réenregistrant une unité d'organisation.

Sélectionnez AWS les régions

• Vous pouvez personnaliser votre zone de landing zone en sélectionnant des AWS régions spécifiques pour la gouvernance. Suivez les étapes indiquées dans la console AWS Control Tower.

• Vous pouvez sélectionner et désélectionner les AWS régions à des fins de gouvernance lorsque vous mettez à jour votre zone de landing zone.

• Vous pouvez définir le contrôle Region Deny sur Activé ou Non activé, et contrôler l'accès des utilisateurs à la plupart des AWS services dans les AWS régions non gouvernées.

Pour plus d'informations sur les domaines Régions AWS dans lesquels le CfCT est soumis à des limites de déploiement, consultezLimites de contrôle.

Personnalisez en ajoutant des commandes facultatives

• Les contrôles facultatifs et fortement recommandés sont facultatifs, ce qui signifie que vous pouvez personnaliser le niveau d'application pour votre zone de landing zone en choisissant ceux que vous souhaitez activer. Les commandes facultatives ne sont pas activées par défaut.

• Les contrôles facultatifs de résidence des données vous permettent de personnaliser les régions dans lesquelles vous stockez vos données et d'autoriser l'accès à celles-ci.

• Les contrôles optionnels inclus dans la norme Security Hub intégrée vous permettent de scanner votre environnement AWS Control Tower afin de détecter les risques de sécurité.

• Les contrôles proactifs optionnels vous permettent de vérifier vos AWS CloudFormation ressources avant qu'elles ne soient provisionnées, afin de vous assurer que les nouvelles ressources seront conformes aux objectifs de contrôle de votre environnement.

Personnalisez vos AWS CloudTrail sentiers

• Lorsque vous mettez à jour votre zone de landing zone vers la version 3.0 ou ultérieure, vous pouvez choisir d'accepter ou de refuser les CloudTrail parcours au niveau de l'organisation gérés par AWS Control Tower. Vous pouvez modifier cette sélection à chaque fois que vous mettez à jour votre zone de landing zone. AWS Control Tower crée une trace au niveau de l'organisation dans votre compte de gestion, et cette trace passe au statut actif ou inactif, selon votre choix. La zone d'atterrissage 3.0 ne prend pas en charge les CloudTrail sentiers au niveau du compte ; toutefois, si vous en avez besoin, vous pouvez configurer et gérer vos propres sentiers. Vous pouvez avoir à payer des frais supplémentaires pour les sentiers dupliqués.

Créez des comptes de membres personnalisés dans la console

• Vous pouvez créer des comptes membres AWS Control Tower personnalisés, et vous pouvez mettre à jour les comptes membres existants pour ajouter des personnalisations, à partir de la console AWS Control Tower. Pour de plus amples informations, veuillez consulter Personnalisez les comptes avec Account Factory Customization (AFC).