Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Activer les commandes sur une unité d'organisation depuis la console
Les contrôles obligatoires et hérités sont activés automatiquement en fonction de la configuration de l'unité d'organisation. Les commandes facultatives peuvent être activées manuellement sur vos unités d'organisation, depuis la console ou au moyen des API de contrôle. La procédure suivante décrit les étapes d'activation des commandes sur une unité d'organisation, à partir de la console.
Important
Lorsque vous activez les contrôles facultatifs, AWS Control Tower crée et gère AWS les ressources de vos comptes. Ne modifiez ni ne supprimez les ressources créées par AWS Control Tower. Cela pourrait entraîner l'entrée des commandes dans un état inconnu.
Pour activer les commandes dans une unité d'organisation, depuis la console
-
À l'aide d'un navigateur Web, accédez à la console AWS Control Tower à l'adresse https://console.aws.amazon.com/controltower
. -
Dans le menu de navigation de gauche, sélectionnez Toutes les commandes.
-
Choisissez un contrôle que vous souhaitez activer ; par exemple, Contrôle : détecter si le chiffrement est activé pour les volumes Amazon EBS attachés aux instances Amazon EC2. Ce choix ouvre la page de détails du contrôle.
-
Dans Unités organisationnelles activées, choisissez Activer le contrôle sur l'unité d'organisation.
-
Une nouvelle page s'affiche qui répertorie les noms de vos unités d'organisation. Identifiez l'unité d'organisation sur laquelle vous souhaitez activer ce contrôle.
-
Choisissez Activer le contrôle sur l'unité d'organisation.
-
Votre contrôle est désormais activé. L'application de la modification peut prendre plusieurs minutes. Lorsque c'est le cas, vous verrez que ce contrôle est appliqué à l'unité d'organisation que vous avez sélectionnée.
Note
Vous pouvez activer simultanément les contrôles préventifs et les contrôles de détection.
Pour désactiver les commandes d'une unité d'organisation, depuis la console
-
À l'aide d'un navigateur Web, accédez à la console AWS Control Tower à l'adresse https://console.aws.amazon.com/controltower
. -
Dans le menu de navigation de gauche, choisissez Controls.
Choisissez un contrôle que vous souhaitez désactiver ; par exemple, Contrôle : détecter si le chiffrement est activé pour les volumes Amazon EBS attachés aux instances Amazon EC2. Ce choix ouvre la page de détails du contrôle.
-
Dans l'onglet Unités organisationnelles activées, sélectionnez le bouton radio à côté de l'unité d'organisation dont vous souhaitez supprimer le contrôle.
-
Choisissez Désactiver le contrôle en haut à droite.
-
Votre contrôle est maintenant désactivé. L'application de la modification peut prendre plusieurs minutes. Lorsque c'est le cas, vous verrez que ce contrôle n'est plus appliqué à l'unité d'organisation que vous avez sélectionnée.
Note
Le contrôle de refus de la région OU est un contrôle spécialisé avec des paramètres. Pour savoir comment activer ce contrôle, consultezContrôle de refus de région appliqué à l'UO.
Déploiement simultané pour les contrôles optionnels
Lorsque vous appliquez des contrôles facultatifs, vous pouvez déployer plusieurs contrôles à la fois. Par exemple, vous pouvez activer Détecter si le MFA est activé pour l'utilisateur root et détecter si l'accès public en écriture aux compartiments Amazon S3 est autorisé, en même temps.
Vous pouvez appliquer et supprimer plusieurs contrôles optionnels sans attendre la fin des opérations de contrôle individuelles, et jusqu'à 25 opérations de contrôle sont mises en file d'attente. Les seules périodes restreintes sont celles où AWS Control Tower est en train de configurer sa zone de landing zone ou lors de l'extension de la gouvernance à une nouvelle organisation.
Fonctionnalités disponibles dans la console et avec les API
-
Appliquez et supprimez simultanément différentes commandes de détection sur la même unité d'organisation.
-
Appliquez et supprimez simultanément différents contrôles de détection sur différentes unités d'organisation.
-
Appliquez et supprimez le même contrôle de détection sur plusieurs unités d'organisation simultanément.
-
Appliquez et supprimez simultanément différents contrôles préventifs sur la même unité d'organisation.
-
Appliquez et supprimez simultanément différents contrôles préventifs sur différentes unités d'organisation.
-
Appliquez et supprimez le même contrôle préventif sur plusieurs unités d'organisation simultanément.
-
Appliquez et supprimez simultanément différents contrôles proactifs sur la même unité d'organisation.
-
Appliquez et supprimez simultanément différents contrôles proactifs sur différentes unités d'organisation.
-
Appliquez et supprimez le même contrôle proactif sur plusieurs unités d'organisation simultanément.
Vous pouvez appliquer et supprimer des contrôles préventifs, détectifs et proactifs simultanément.
Lorsque vous appliquez des contrôles préventifs à des unités d'organisation imbriquées, les contrôles préventifs affectent tous les comptes et unités d'organisation imbriqués sous l'unité d'organisation cible, même si ces comptes et unités d'organisation ne sont pas enregistrés auprès d'AWS Control Tower. Les contrôles préventifs sont mis en œuvre à l'aide des politiques de contrôle des services (SCP), qui en font partie AWS Organizations. Les contrôles Detective sont mis en œuvre à l'aide de AWS Config règles. Les contrôles proactifs sont mis en œuvre à l'aide de CloudFormation crochets.
Les contrôles restent en vigueur pour l'ensemble de l'unité d'organisation, lorsque vous créez de nouveaux comptes ou apportez des modifications à vos comptes existants, et AWS Control Tower fournit un rapport récapitulatif expliquant comment chaque compte est conforme aux contrôles que vous avez activés. Pour obtenir la liste complète des commandes disponibles, voirLa bibliothèque de contrôles AWS Control Tower.
