Comment fonctionne AWS Control Tower - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment fonctionne AWS Control Tower

Cette section décrit à un niveau élevé le fonctionnement AWS Control Tower Votre landing zone est un environnement à plusieurs comptes bien conçu pour l'ensembleAWSAWS. Vous pouvez utiliser cet environnement pour appliquer les règlementations de conformité à l'ensemble de vos comptes AWS.

Structure d'une zone d'atterrissage de la AWS Control Tower

La structure d'une landing zone dans AWS Control Tower

  • Racine— Le parent qui contient toutes les autres unités d'organisation situées dans votre landing zone.

  • U— Cette unité d'organisation contient les comptes Log Archive et Audit. Ces comptes sont souvent appelés comptes partagés. Lorsque vous lancez votre landing zone, vous pouvez choisir des noms personnalisés pour ces comptes partagés, et vous avez la possibilité d'ajouter des comptes existantsAWScomptes dans AWS Control Tower pour la sécurité et la journalisation. Toutefois, ceux-ci ne peuvent pas être renommés ultérieurement et les comptes existants ne peuvent pas être ajoutés pour des raisons de sécurité et de journalisation après le lancement initial.

  • Environnement sandbox— L'unité d'organisation sandbox est créée lorsque vous lancez votre landing zone, si vous l'activez. Cette UO et les autres unités d'organisation enregistrées contiennent les comptes inscrits avec lesquels vos utilisateurs travaillent pour exécuter leurs charges de travail AWS.

  • Répertoire IAM Identity Center— Ce répertoire héberge vos utilisateurs IAM Identi Il définit la portée des autorisations pour chaque utilisateur IAM Identi

  • Utilisateurs d'IAM Identity Center— Ce sont les identités que vos utilisateurs peuvent assumer pour exécuterAWScharges de travail dans votre landing zone.

Que se passe-t-il lorsque vous configurez une landing zone

Lorsque vous configurez une zone de destination, AWS Control Tower

  • Il crée deuxAWS Organizationsunités d'organisation (UO) : Security et Sandbox (facultatif), contenus dans la structure racine de l'organisation.

  • Crée ou ajoute deux comptes partagés dans l'unité d'organisation Security : le compte Log Archive et le compte Audit.

  • Il crée un annuaire natif cloud dans IAM IdentiTower, avec des groupes préconfigurés et un accès à authentification unique.

  • Il applique tous les protections préventives obligatoires pour appliquer des stratégies.

  • Il applique tous les sécurités de détection obligatoires pour détecter les violations de configuration.

  • Les barrières de sécurité de prévention ne sont pas appliquées au compte de gestion.

  • À l'exception du compte de gestion, les barrières de sécurité sont appliquées à l'ensemble de l'organisation.

Gestion sécurisée des ressources au sein de votre AWS Control

  • Lorsque vous créez votre landing zone, un certain nombreAWSles ressources sont créées. Pour utiliser AWS Control Tower La suppression ou la modification de ces ressources entraîne l'affectation d'un état inconnu à votre landing zone. Pour plus d'informations, consultez Conseils pour créer et modifier les ressources de la AWS Control Tower.

  • Lorsque vous activez les garde-corps optionnels (ceux avecfortement recommandé ou facultatifguidance), AWS Control Tower créeAWSles ressources qu'il gère dans vos comptes. Ne modifiez pas ou ne supprimez pas les ressources créées par AWS Control Tower En procédant ainsi, les sécurités peuvent passer à un état inconnu. Pour plus d'informations, consultez Référence de protection.

Que sont les comptes partagés ?

landing zone AWS Control Tower

Qu'est-ce que le compte de gestion ?

Il s'agit du compte que vous avez créé spécifiquement pour votre landing zone. Ce compte est utilisé pour la facturation pour tous les éléments dans votre landing zone. Il est également utilisé pour la mise en service des comptes Account Factory, ainsi que pour gérer les unités d'organisation et les barrières de sécurité.

Note

Il n'est pas recommandé d'exécuter n'importe quel type de charge de travail de production à partir d'un compte de gestion AWS Control Créez un compte AWS Control

Lorsque vous configurez votre landing zone, les éléments suivantsAWSles ressources sont créées dans votre compte de gestion.

Service AWS Type de ressource Nom de la ressource
AWS Organizations Comptes

audit

log archive

AWS Organizations Unités d'organisation

Security

Sandbox

AWS Organizations Politiques de contrôle de service

aws-guardrails-*

AWS CloudFormation Piles AWSControlTowerBP-BASELINE-CLOUDTRAIL-MASTER
AWS CloudFormation StackSets

AWSControlTowerBP-BASELINE-CLOUDTRAIL

AWSControlTowerBP-BASELINE-CLOUDWATCH

AWSControlTowerBP-BASELINE-CONFIG

AWSControlTowerBP-BASELINE-CONFIG-MASTER(dans la version 2.6 et ultérieure)

AWSControlTowerBP-BASELINE-ROLES

AWSControlTowerBP-BASELINE-SERVICE-ROLES

AWSControlTowerBP-SECURITY-TOPICS

AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-READ-PROHIBITED

AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-WRITE-PROHIBITED

AWSControlTowerLoggingResources

AWSControlTowerSecurityResources

AWSControlTowerExecutionRole

AWS Service Catalog Produit AWS Control Tower
AWS Config Agrégateur aws-controltower-ConfigAggregatorForOrganizations
AWS CloudTrail Journal d’activité aws-controltower-BaselineCloudTrail
Amazon CloudWatch CloudWatch Journaux aws-controltower/CloudTrailLogs
AWS Identity and Access Management Roles

AWSControlTowerAdmin

AWSControlTowerStackSetRole

AWSControlTowerCloudTrailRolePolicy

AWS Identity and Access Management Politiques

AWSControlTowerServiceRolePolicy

AWSControlTowerAdminPolicy

AWSControlTowerCloudTrailRolePolicy

AWSControlTowerStackSetRolePolicy

AWS IAM Identity Center (successor to AWS Single Sign-On) Groupes d'annuaires

AWSAccountFactory

AWSAuditAccountAdmins

AWSControlTowerAdmins

AWSLogArchiveAdmins

AWSLogArchiveViewers

AWSSecurityAuditors

AWSSecurityAuditPowerUsers

AWSServiceCatalogAdmins

AWS IAM Identity Center (successor to AWS Single Sign-On) Jeux d'autorisations

AWSAdministratorAccess

AWSPowerUserAccess

AWSServiceCatalogAdminFullAccess

AWSServiceCatalogEndUserAccess

AWSReadOnlyAccess

AWSOrganizationsFullAccess

Qu'est-ce que le compte d'archivage des journaux ?

Ce compte est utilisé comme un référentiel des journaux des activités d'API et des configurations de ressources de tous les comptes de la landing zone.

Lorsque vous configurez votre landing zone, les ressources AWS suivantes sont créées dans votre compte d'archivage des journaux.

Service AWS Type de ressource Nom de la ressource
AWS CloudFormation Piles

StackSet-AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-READ-PROHIBITED-

StackSet-AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-WRITE-PROHIBITED

StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-

StackSet-AWSControlTowerBP-BASELINE-CONFIG-

StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL-

StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES-

StackSet-AWSControlTowerBP-BASELINE-ROLES-

StackSet-AWSControlTowerLoggingResources-

AWS Config AWS Config Rules

AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_READ_PROHIBITED

AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_WRITE_PROHIBIT

AWS CloudTrail Suivis aws-controltower-BaselineCloudTrail
Amazon CloudWatch CloudWatch Règles d'événements aws-controltower-ConfigComplianceChangeEventRule
Amazon CloudWatch CloudWatch Journaux

aws-controltower/CloudTrailLogs

/aws/lambda/aws-controltower-NotificationForwarder

AWS Identity and Access Management Roles

aws-controltower-AdministratorExecutionRole

aws-controltower-CloudWatchLogsRole

aws-controltower-ConfigRecorderRole

aws-controltower-ForwardSnsNotificationRole

aws-controltower-ReadOnlyExecutionRole

AWSControlTowerExecution

AWS Identity and Access Management Politiques AWSControlTowerServiceRolePolicy
Amazon Simple Notification Service Rubriques aws-controltower-SecurityNotifications
AWS Lambda Applications StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-*
AWS Lambda Fonctions aws-controltower-NotificationForwarder
Amazon Simple Storage Service Compartiments

aws-controltower-logs-*

aws-controltower-s3-access-logs-*

Qu'est-ce que le compte d'audit ?

Le compte d'audit est un compte restreint qui est conçu pour donner à vos équipes de sécurité et de conformité un accès en lecture et en écriture à tous les comptes de votre landing zone. Depuis le compte d'audit, vous disposez d'un accès par programmation pour passer en revue les comptes, au moyen d'un rôle qui est accordé uniquement aux fonctions Lambda. Le compte d'audit ne vous permet pas de vous connecter manuellement à d'autres comptes. Pour de plus amples informations sur les fonctions et rôles Lambda, veuillez consulterConfigurer une fonction Lambda pour assumer un rôle à partir d'un autre compte AWS.

Lorsque vous configurez votre landing zone, les ressources AWS suivantes sont créées dans votre compte d'audit.

Service AWS Type de ressource Nom de la ressource
AWS CloudFormation Piles

StackSet-AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-READ-PROHIBITED-

StackSet-AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-WRITE-PROHIBITED-

StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-

StackSet-AWSControlTowerBP-BASELINE-CONFIG-

StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL-

StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES-

StackSet-AWSControlTowerBP-SECURITY-TOPICS-

StackSet-AWSControlTowerBP-BASELINE-ROLES-

StackSet-AWSControlTowerSecurityResources-*

AWS Config Agrégateur aws-controltower-GuardrailsComplianceAggregator
AWS Config AWS Config Rules

AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_READ_PROHIBITED

AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_WRITE_PROHIBITED

AWS CloudTrail Journal d’activité aws-controltower-BaselineCloudTrail
Amazon CloudWatch CloudWatch Règles d'événements aws-controltower-ConfigComplianceChangeEventRule
Amazon CloudWatch CloudWatch Journaux

aws-controltower/CloudTrailLogs

/aws/lambda/aws-controltower-NotificationForwarder

AWS Identity and Access Management Roles

aws-controltower-AdministratorExecutionRole

aws-controltower-CloudWatchLogsRole

aws-controltower-ConfigRecorderRole

aws-controltower-ForwardSnsNotificationRole

aws-controltower-ReadOnlyExecutionRole

aws-controltower-AuditAdministratorRole

aws-controltower-AuditReadOnlyRole

AWSControlTowerExecution

AWS Identity and Access Management Politiques AWSControlTowerServiceRolePolicy
Amazon Simple Notification Service Rubriques

aws-controltower-AggregateSecurityNotifications

aws-controltower-AllConfigNotifications

aws-controltower-SecurityNotifications

AWS Lambda Fonctions aws-controltower-NotificationForwarder

Fonctionnement des barrières de sécurité

Une barrière de sécurité est une règle de haut niveau qui fournit une gouvernance continue dans l'ensemble de votre environnement AWS. Chaque protection applique une règle unique, exprimée en langage clair. Vous pouvez modifier les protections électives ou fortement recommandées qui sont en vigueur, à tout moment, à partir de la AWS Control Tower Les barrières de sécurité obligatoires sont toujours appliquées et ne peuvent pas être modifiées.

Les barrières de sécurité préventives empêchent certaines actions de se produire. Par exemple, le garde-corps électif appeléInterdire les modifications apportées à la stratégie de compartiment pour les compartiments Amazon S3(Précédemment appeléInterdire les modifications de stratégie pour l'archivage des journaux) empêche toute modification de stratégie IAM dans le compte partagé d'archivage des journaux. Toute tentative de réalisation d'une action empêchée est refusée et consignée dans CloudTrail. La ressource est également consignée dans AWS Config.

Les barrières de sécurité de détection détectent des événements spécifiques lorsqu'ils se produisent et consignent l'action dans CloudTrail. Par exemple, le garde-corps fortement recommandé appeléDétecter si le chiffrement est activé pour les volumes Amazon EBS attachés aux instances Amazon EC2détecte si un volume Amazon EBS non chiffré est attaché à une instance EC2 dans votre landing zone.

Pour ceux qui connaissent AWS : Dans AWS Control Tower Les garde-corps Detective sont implémentés avec les règles AWS Config.

Comment AWS Control Tower StackSets

AWS Control Tower CloudFormation StackSets pour configurer les ressources de vos comptes. Chaque ensemble de piles possède StackInstances qui correspondent aux comptes et aux régions AWS par compte. AWS Control Tower déploie une instance d'ensemble de piles par compte et par région.

AWS Control TowerCloudFormation paramètres. Lorsque les mises à jour sont appliquées à certaines instances de pile, d'autres instances de pile peuvent être laissées à l'état Outdated (Obsolète). Ce comportement est attendu et normal.

Lorsqu'une instance de pile passe à l'état Outdated (Obsolète) cela signifie généralement que la pile correspondant à cette instance de pile n'est pas alignée avec le dernier modèle de l'ensemble de piles. La pile reste dans l'ancien modèle, de sorte qu'elle peut ne pas inclure les dernières ressources ou derniers paramètres. La pile est encore complètement utilisable.

Voici un bref résumé du comportement à attendre, basé sur AWS Control CloudFormationparamètres spécifiés lors d'une mise à jour :

Si la mise à jour de l'ensemble de piles inclut des modifications du modèle (c'est-à-dire si le paramètreTemplateBodyouTemplateURLles propriétés sont spécifiées), ou si la propriétéParameterspropriété est spécifiée, AWS CloudFormation marque à toutes les instances de pile le statutDépasséavant de mettre à jour les instances de pile dans les les les les les instances de pile AWS les les les Si la mise à jour de l'ensemble de piles n'inclut pas les modifications apportées au modèle ou aux paramètres, AWS CloudFormation met à jour les instances de pile dans les les les les les les les les les les les régions spécifiés, tout en laissant à toutes les instances de pile existant. Pour mettre à jour toutes les instances de pile associées à un jeu de piles, ne spécifiez pas les propriétés Regions ou Accounts.

Pour de plus amples informations, veuillez consulterMettre à jour l'ensemble de pilesdans AWS CloudFormation Guide de l'utilisateur .