Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Comment fonctionne AWS Control Tower

PDF
RSS
Mode de mise au point
Comment fonctionne AWS Control Tower - AWS Control Tower
Structure d'une zone d'atterrissage d'une tour de contrôle AWSQue se passe-t-il lorsque vous configurez une zone d'atterrissageComment fonctionne AWS Control Tower avec StackSets

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Cette section décrit de manière détaillée le fonctionnement d'AWS Control Tower. Votre zone de landing zone est un environnement multi-comptes bien conçu pour toutes vos ressources. AWS Vous pouvez utiliser cet environnement pour appliquer les réglementations de conformité à tous vos AWS comptes.

Structure d'une zone d'atterrissage d'une tour de contrôle AWS

La structure d'une zone d'atterrissage dans AWS Control Tower est la suivante :

  • Root — Le parent qui contient tous les autres éléments OUs de votre zone de landing zone.

  • UO de sécurité — Cette UO contient les comptes d'archive des journaux et d'audit. Ces comptes sont souvent appelés comptes partagés. Lorsque vous lancez votre zone de landing zone, vous pouvez choisir des noms personnalisés pour ces comptes partagés, et vous avez la possibilité d'intégrer des AWS comptes existants dans AWS Control Tower pour des raisons de sécurité et de journalisation. Toutefois, ils ne peuvent pas être renommés ultérieurement, et les comptes existants ne peuvent pas être ajoutés pour des raisons de sécurité et de journalisation après le lancement initial.

  • OU Sandbox — L'UO Sandbox est créée lorsque vous lancez votre zone d'atterrissage, si vous l'activez. Ce compte enregistré et d'autres comptes enregistrés OUs contiennent les comptes inscrits avec lesquels vos utilisateurs travaillent pour effectuer leurs AWS charges de travail.

  • Répertoire du centre d'identité IAM : par défaut, ce répertoire héberge les utilisateurs de votre centre d'identité IAM. Il définit l'étendue des autorisations pour chaque utilisateur d'IAM Identity Center. Vous pouvez éventuellement choisir de gérer vous-même votre identité et votre contrôle d'accès. Pour plus d'informations, consultez Travailler avec AWS IAM Identity Center et AWS Control Tower.

  • Utilisateurs de l'IAM Identity Center : il s'agit des identités que vos utilisateurs peuvent adopter pour exécuter leurs AWS charges de travail dans votre zone de landing zone.

Que se passe-t-il lorsque vous configurez une zone d'atterrissage

Lorsque vous configurez une zone de landing zone, AWS Control Tower effectue les actions suivantes sur votre compte de gestion en votre nom :

  • Crée deux unités AWS Organizations organisationnelles (OUs) : Security et Sandbox (facultatif), contenues dans la structure racine de l'organisation.

  • Crée ou ajoute deux comptes partagés dans l'unité d'organisation de sécurité : le compte Log Archive et le compte Audit.

  • Crée un annuaire cloud natif dans IAM Identity Center, avec des groupes préconfigurés et un accès par authentification unique, si vous choisissez la configuration par défaut d'AWS Control Tower, ou si cela vous permet de gérer vous-même votre fournisseur d'identité.

  • Applique tous les contrôles préventifs obligatoires pour appliquer les politiques.

  • Applique tous les contrôles de détection obligatoires pour détecter les violations de configuration.

  • Les contrôles préventifs ne sont pas appliqués au compte de gestion.

  • À l'exception du compte de gestion, les contrôles sont appliqués à l'ensemble de l'organisation.

Gestion sécurisée des ressources au sein de votre zone d'atterrissage et de vos comptes AWS Control Tower

  • Lorsque vous créez votre zone de landing zone, un certain nombre de AWS ressources sont créées. Pour utiliser AWS Control Tower, vous ne devez pas modifier ou supprimer ces ressources gérées par AWS Control Tower en dehors des méthodes prises en charge décrites dans ce guide. La suppression ou la modification de ces ressources fera entrer votre zone d'atterrissage dans un état inconnu. Pour plus d’informations, consultez Conseils pour la création et la modification des ressources AWS Control Tower.

  • Lorsque vous activez les contrôles facultatifs (ceux qui sont fortement recommandés ou facultatifs), AWS Control Tower crée AWS des ressources qu'elle gère dans vos comptes. Ne modifiez ni ne supprimez les ressources créées par AWS Control Tower. Cela peut entraîner l'entrée des commandes dans un état inconnu.

Comment fonctionne AWS Control Tower avec StackSets

AWS Control Tower utilise AWS Control Tower AWS CloudFormation StackSets pour configurer les ressources de vos comptes, par défaut. Chaque ensemble de piles StackInstances correspond à des comptes et à Régions AWS par compte. AWS Control Tower déploie une instance de stack set par compte et par région.

AWS Control Tower applique des mises à jour à certains comptes de Régions AWS manière sélective, en fonction AWS CloudFormation des paramètres. Lorsque les mises à jour sont appliquées à certaines instances de pile, d'autres instances de pile peuvent être laissées à l'état Outdated (Obsolète). Ce comportement est attendu et normal.

Lorsqu'une instance de pile passe à l'état Outdated (Obsolète) cela signifie généralement que la pile correspondant à cette instance de pile n'est pas alignée avec le dernier modèle de l'ensemble de piles. La pile reste dans l'ancien modèle, de sorte qu'elle peut ne pas inclure les dernières ressources ou derniers paramètres. La pile est encore complètement utilisable.

Voici un bref résumé du comportement auquel vous pouvez vous attendre, en fonction des AWS CloudFormation paramètres spécifiés lors d'une mise à jour :

Si la mise à jour de l'ensemble de piles inclut des modifications du modèle (c'est-à-dire si les TemplateURL propriétés TemplateBody ou sont spécifiées), ou si la Parameters propriété est spécifiée, AWS CloudFormation marque toutes les instances de pile avec le statut Obsolète avant de mettre à jour les instances de pile dans les comptes spécifiés et Régions AWS. Si la mise à jour de l'ensemble de piles n'inclut aucune modification du modèle ou des paramètres, AWS CloudFormation met à jour les instances de pile dans les comptes et régions spécifiés, tout en conservant le statut d'instance de pile existant pour toutes les autres instances de pile. Pour mettre à jour toutes les instances de pile associées à un jeu de piles, ne spécifiez pas les propriétés Regions ou Accounts.

Pour plus d'informations, voir Mettre à jour votre ensemble de piles dans le guide de AWS CloudFormation l'utilisateur.

Sur cette page

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.