Comment fonctionne AWS Control Tower - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment fonctionne AWS Control Tower

Cette section décrit de manière détaillée le fonctionnement d'AWS Control Tower. Votre zone de landing zone est un environnement multi-comptes bien conçu pour toutes vos ressources. AWS Vous pouvez utiliser cet environnement pour appliquer les réglementations de conformité à tous vos AWS comptes.

Structure d'une zone d'atterrissage d'une tour de contrôle AWS

La structure d'une zone d'atterrissage dans AWS Control Tower est la suivante :

  • Root : le parent qui contient toutes les autres unités d'organisation de votre zone de landing zone.

  • UO de sécurité — Cette UO contient les comptes d'archive des journaux et d'audit. Ces comptes sont souvent appelés comptes partagés. Lorsque vous lancez votre zone de landing zone, vous pouvez choisir des noms personnalisés pour ces comptes partagés, et vous avez la possibilité d'intégrer des AWS comptes existants dans AWS Control Tower pour des raisons de sécurité et de journalisation. Toutefois, ils ne peuvent pas être renommés ultérieurement, et les comptes existants ne peuvent pas être ajoutés pour des raisons de sécurité et de journalisation après le lancement initial.

  • Unité d'organisation Sandbox : l'unité d'organisation Sandbox est créée lorsque vous lancez votre zone d'atterrissage, si vous l'activez. Cette unité d'organisation enregistrée, ainsi que d'autres, contiennent les comptes inscrits avec lesquels vos utilisateurs travaillent pour exécuter leurs charges de travail AWS.

  • Répertoire du centre d'identité IAM : ce répertoire héberge les utilisateurs de votre centre d'identité IAM. Il définit l'étendue des autorisations pour chaque utilisateur de l'IAM Identity Center.

  • Utilisateurs de l'IAM Identity Center : il s'agit des identités que vos utilisateurs peuvent adopter pour exécuter leurs AWS charges de travail dans votre zone de landing zone.

Que se passe-t-il lorsque vous configurez une zone d'atterrissage

Lorsque vous configurez une zone de landing zone, AWS Control Tower effectue les actions suivantes sur votre compte de gestion en votre nom :

  • Crée deux unités AWS Organizations organisationnelles (UO) : Security et Sandbox (facultatif), contenues dans la structure racine de l'organisation.

  • Crée ou ajoute deux comptes partagés dans l'unité d'organisation de sécurité : le compte Log Archive et le compte Audit.

  • Crée un annuaire cloud natif dans IAM Identity Center, avec des groupes préconfigurés et un accès par authentification unique, si vous choisissez la configuration par défaut d'AWS Control Tower, ou si cela vous permet de gérer vous-même votre fournisseur d'identité.

  • Applique tous les contrôles préventifs obligatoires pour appliquer les politiques.

  • Applique tous les contrôles de détection obligatoires pour détecter les violations de configuration.

  • Les contrôles préventifs ne sont pas appliqués au compte de gestion.

  • À l'exception du compte de gestion, les contrôles sont appliqués à l'ensemble de l'organisation.

Gestion sécurisée des ressources au sein de votre zone d'atterrissage et de vos comptes AWS Control Tower
  • Lorsque vous créez votre zone de landing zone, un certain nombre de AWS ressources sont créées. Pour utiliser AWS Control Tower, vous ne devez pas modifier ou supprimer ces ressources gérées par AWS Control Tower en dehors des méthodes prises en charge décrites dans ce guide. La suppression ou la modification de ces ressources fera entrer votre zone d'atterrissage dans un état inconnu. Pour plus d’informations, consultez Conseils pour la création et la modification des ressources AWS de la Control Tower.

  • Lorsque vous activez les contrôles facultatifs (ceux qui sont fortement recommandés ou facultatifs), AWS Control Tower crée AWS des ressources qu'elle gère dans vos comptes. Ne modifiez ni ne supprimez les ressources créées par AWS Control Tower. Cela peut entraîner l'entrée des commandes dans un état inconnu.

Quels sont les comptes partagés ?

Dans AWS Control Tower, les comptes partagés de votre zone de landing zone sont provisionnés lors de la configuration : le compte de gestion, le compte d'archivage des journaux et le compte d'audit.

Qu'est-ce que le compte de gestion ?

Il s'agit du compte que vous avez créé spécifiquement pour votre zone de landing zone. Ce compte est utilisé pour facturer tout ce qui se trouve dans votre zone de landing zone. Il est également utilisé pour le provisionnement des comptes par Account Factory, ainsi que pour gérer les unités d'organisation et les contrôles.

Note

Il n'est pas recommandé d'exécuter des charges de travail de production à partir d'un compte de gestion AWS Control Tower. Créez un compte AWS Control Tower distinct pour exécuter vos charges de travail.

Pour plus d’informations, consultez Compte de gestion.

Qu'est-ce que le compte d'archivage des journaux ?

Ce compte fonctionne comme un référentiel pour les journaux des activités de l'API et des configurations de ressources de tous les comptes de la zone de landing zone.

Pour plus d’informations, consultez Compte d'archivage des journaux.

Qu'est-ce que le compte d'audit ?

Le compte d'audit est un compte restreint conçu pour donner à vos équipes de sécurité et de conformité un accès en lecture et en écriture à tous les comptes de votre zone de landing zone. Depuis le compte d'audit, vous disposez d'un accès par programmation pour passer en revue les comptes, au moyen d'un rôle qui est accordé uniquement aux fonctions Lambda. Le compte d'audit ne vous permet pas de vous connecter manuellement à d'autres comptes. Pour plus d'informations sur les fonctions et les rôles Lambda, voir Configurer une fonction Lambda pour qu'elle assume le rôle d'une autre. Compte AWS

Pour plus d’informations, consultez Compte d'audit.

Comment fonctionnent les commandes

Un contrôle est une règle de haut niveau qui fournit une gouvernance continue de votre AWS environnement global. Chaque contrôle applique une règle unique, exprimée en langage clair. Vous pouvez modifier les contrôles facultatifs ou fortement recommandés qui sont en vigueur à tout moment depuis la console AWS Control Tower ou les API AWS Control Tower. Les contrôles obligatoires sont toujours appliqués et ne peuvent pas être modifiés.

Les contrôles préventifs empêchent les actions de se produire. Par exemple, le contrôle électif appelé Interdire les modifications apportées à la politique de compartiment pour les compartiments Amazon S3 (précédemment appelé Interdire les modifications de politique aux archives de journaux) empêche toute modification de la politique IAM au sein du compte partagé d'archives de journaux. Toute tentative d'exécution d'une action empêchée est refusée et connectée CloudTrail. La ressource est également connectée AWS Config.

Les contrôles Detective détectent des événements spécifiques lorsqu'ils se produisent et enregistrent l'actionCloudTrail. Par exemple, le contrôle fortement recommandé appelé Detect Whether Encryption is Enabled for Amazon EBS Volumes Attached to Amazon EC2 Instances détecte si un volume Amazon EBS non chiffré est attaché à une instance EC2 dans votre zone de landing zone.

Des contrôles proactifs vérifient si les ressources sont conformes aux politiques et aux objectifs de votre entreprise, avant qu'elles ne soient provisionnées dans vos comptes. Si les ressources ne sont pas conformes, elles ne sont pas provisionnées. Les contrôles proactifs surveillent les ressources qui seraient déployées dans vos comptes au moyen de AWS CloudFormation modèles.

Pour ceux qui connaissent AWS : Dans AWS Control Tower, les contrôles préventifs sont mis en œuvre à l'aide de politiques de contrôle des services (SCP). Les contrôles Detective sont mis en œuvre avec AWS Config des règles. Les contrôles proactifs sont mis en œuvre à l'aide de AWS CloudFormation crochets.

Comment fonctionne AWS Control Tower avec StackSets

AWS Control Tower permet AWS CloudFormation StackSets de configurer les ressources de vos comptes. Chaque ensemble de piles StackInstances correspond à des comptes et à Régions AWS par compte. AWS Control Tower déploie une instance de stack set par compte et par région.

AWS Control Tower applique des mises à jour à certains comptes de Régions AWS manière sélective, en fonction AWS CloudFormation des paramètres. Lorsque les mises à jour sont appliquées à certaines instances de pile, d'autres instances de pile peuvent être laissées à l'état Outdated (Obsolète). Ce comportement est attendu et normal.

Lorsqu'une instance de pile passe à l'état Outdated (Obsolète) cela signifie généralement que la pile correspondant à cette instance de pile n'est pas alignée avec le dernier modèle de l'ensemble de piles. La pile reste dans l'ancien modèle, de sorte qu'elle peut ne pas inclure les dernières ressources ou derniers paramètres. La pile est encore complètement utilisable.

Voici un bref résumé du comportement auquel vous pouvez vous attendre, en fonction des AWS CloudFormation paramètres spécifiés lors d'une mise à jour :

Si la mise à jour de l'ensemble de piles inclut des modifications du modèle (c'est-à-dire si les TemplateURL propriétés TemplateBody ou sont spécifiées), ou si la Parameters propriété est spécifiée, AWS CloudFormation marque toutes les instances de pile avec le statut Obsolète avant de mettre à jour les instances de pile dans les comptes spécifiés et Régions AWS. Si la mise à jour de l'ensemble de piles n'inclut aucune modification du modèle ou des paramètres, AWS CloudFormation met à jour les instances de pile dans les comptes et régions spécifiés, tout en conservant le statut d'instance de pile existant pour toutes les autres instances de pile. Pour mettre à jour toutes les instances de pile associées à un jeu de piles, ne spécifiez pas les propriétés Regions ou Accounts.

Pour plus d'informations, voir Mettre à jour votre ensemble de piles dans le guide de AWS CloudFormation l'utilisateur.