Comment fonctionne AWS Control Tower

Cette section décrit de manière détaillée le fonctionnement d'AWS Control Tower. Votre zone d'atterrissage est un environnement multi-comptes bien conçu pour toutes vos ressources. AWS Vous pouvez utiliser cet environnement pour appliquer les règlementations de conformité à l'ensemble de vos comptes AWS.

Structure d'une zone d'atterrissage de la tour de contrôle AWS

La structure d'une zone d'atterrissage dans la tour de contrôle AWS est la suivante :

• Racine : le parent qui contient toutes les autres UO de votre zone d'atterrissage.

• UO de sécurité : cette UO contient les comptes d'archivage des journaux et d'audit. Ces comptes sont souvent appelés comptes partagés. Lorsque vous lancez votre zone d'atterrissage, vous pouvez choisir des noms personnalisés pour ces comptes partagés et vous avez la possibilité d'intégrer les AWS comptes existants dans AWS Control Tower à des fins de sécurité et de journalisation. Toutefois, ils ne peuvent pas être renommés ultérieurement et les comptes existants ne peuvent pas être ajoutés pour des raisons de sécurité et de journalisation après le lancement initial.

• Unité d'organisation Sandbox : l'unité d'organisation Sandbox est créée lorsque vous lancez votre zone d'atterrissage, si vous l'activez. Cette unité d'organisation, ainsi que d'autres unités d'organisation enregistrées, contiennent les comptes inscrits avec lesquels vos utilisateurs travaillent pour exécuter leurs charges de travail AWS.

• Répertoire IAM Identity Center : ce répertoire héberge les utilisateurs de votre IAM Identity Center. Il définit l'étendue des autorisations pour chaque utilisateur d'IAM Identity Center.

• Utilisateurs du centre d'identité IAM : il s'agit des identités que vos utilisateurs peuvent utiliser pour exécuter leurs AWS charges de travail dans votre zone d'atterrissage.

Que se passe-t-il lorsque vous configurez une zone d'atterrissage

Lorsque vous configurez une zone d'atterrissage, AWS Control Tower effectue les actions suivantes sur votre compte de gestion en votre nom :

• Crée deux unités AWS Organizations organisationnelles (UO) : la sécurité et la sandbox (facultative), contenues dans la structure racine de l'organisation.

• Crée ou ajoute deux comptes partagés dans l'unité d'organisation de sécurité : le compte Log Archive et le compte Audit.

• Crée un répertoire cloud natif dans IAM Identity Center, avec des groupes préconfigurés et un accès par authentification unique, si vous choisissez la configuration par défaut de la tour de contrôle AWS, ou si elle vous permet de gérer vous-même votre fournisseur d'identité.

• Applique tous les contrôles préventifs obligatoires pour faire appliquer les politiques.

• Applique tous les contrôles de détection obligatoires pour détecter les violations de configuration.

• Les contrôles préventifs ne sont pas appliqués au compte de gestion.

• À l'exception du compte de gestion, les contrôles s'appliquent à l'organisation dans son ensemble.

Gestion sécurisée des ressources au sein de votre zone d'atterrissage et de vos comptes AWS Control Tower

• Lorsque vous créez votre zone d'atterrissage, un certain nombre de AWS ressources sont créées. Pour utiliser AWS Control Tower, vous ne devez ni modifier ni supprimer ces ressources gérées par AWS Control Tower en dehors des méthodes prises en charge décrites dans ce guide. La suppression ou la modification de ces ressources fera passer votre zone d'atterrissage à un état inconnu. Pour plus d'informations, veuillez consulter la rubrique Conseils pour créer et modifier les ressources AWS Control Tower

• Lorsque vous activez des contrôles facultatifs (ceux qui comportent des instructions fortement recommandées ou facultatives), AWS Control Tower crée AWS des ressources qu'elle gère dans vos comptes. Ne modifiez ni ne supprimez les ressources créées par AWS Control Tower. Dans ce cas, les commandes peuvent entrer dans un état inconnu. Pour plus d'informations, veuillez consulter La bibliothèque de contrôles AWS Control.

Que sont les comptes partagés ?

Dans AWS Control Tower, les comptes partagés de votre zone de destination sont provisionnés lors de la configuration : le compte de gestion, le compte d'archivage des journaux et le compte d'audit.

Qu'est-ce que le compte de gestion ?

Il s'agit du compte que vous avez créé spécifiquement pour votre zone d'atterrissage. Ce compte est utilisé pour la facturation de tout ce qui se trouve dans votre zone d'atterrissage. Il est également utilisé pour le provisionnement des comptes par Account Factory, ainsi que pour gérer les unités d'organisation et les contrôles.

Note

Il n'est pas recommandé d'exécuter tout type de charge de travail de production à partir d'un compte de gestion AWS Control Tower. Créez un compte AWS Control Tower distinct pour exécuter vos charges de travail.

Lorsque vous configurez votre zone d'atterrissage, les AWS ressources suivantes sont créées dans votre compte de gestion.

Service AWS	Type de ressource	Nom de la ressource
AWS Organizations	Comptes	audit log archive
AWS Organizations	Unités d'organisation	Security Sandbox
AWS Organizations	Politiques de contrôle de service	aws-guardrails-*
AWS CloudFormation	Piles	AWSControlTowerBP-BASELINE-CLOUDTRAIL-MASTER AWSControlTowerBP-BASELINE-CONFIG-MASTER(dans les versions 2.6 et ultérieures)
AWS CloudFormation	StackSets	AWSControlTowerBP-BASELINE-CLOUDTRAIL(Non déployé dans les versions 3.0 et ultérieures) AWSControlTowerBP_BASELINE_SERVICE_LINKED_ROLE (Deployed in 3.2 and later) AWSControlTowerBP-BASELINE-CLOUDWATCH AWSControlTowerBP-BASELINE-CONFIG AWSControlTowerBP-BASELINE-ROLES AWSControlTowerBP-BASELINE-SERVICE-ROLES AWSControlTowerBP-SECURITY-TOPICS AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-READ-PROHIBITED AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-WRITE-PROHIBITED AWSControlTowerLoggingResources AWSControlTowerSecurityResources AWSControlTowerExecutionRole
AWS Service Catalog	Produit	Fabrique de comptes AWS Control Tower
AWS Config	Agrégateur	aws-controltower-ConfigAggregatorForOrganizations
AWS CloudTrail	Journal d’activité	aws-controltower-BaselineCloudTrail
Amazon CloudWatch	Journaux CloudWatch	aws-controltower/CloudTrailLogs
AWS Identity and Access Management	Roles	AWSControlTowerAdmin AWSControlTowerStackSetRole AWSControlTowerCloudTrailRolePolicy
AWS Identity and Access Management	Politiques	AWSControlTowerServiceRolePolicy AWSControlTowerAdminPolicy AWSControlTowerCloudTrailRolePolicy AWSControlTowerStackSetRolePolicy
AWS IAM Identity Center (successor to AWS Single Sign-On)	Groupes d'annuaires	AWSAccountFactory AWSAuditAccountAdmins AWSControlTowerAdmins AWSLogArchiveAdmins AWSLogArchiveViewers AWSSecurityAuditors AWSSecurityAuditPowerUsers AWSServiceCatalogAdmins
AWS IAM Identity Center (successor to AWS Single Sign-On)	Jeux d'autorisations	AWSAdministratorAccess AWSPowerUserAccess AWSServiceCatalogAdminFullAccess AWSServiceCatalogEndUserAccess AWSReadOnlyAccess AWSOrganizationsFullAccess

Note

AWS CloudFormationStackSetBP_BASELINE_CLOUDTRAILIl n'est pas déployé dans les versions 3.0 ou ultérieures de la zone d'atterrissage. Elle continue toutefois d'exister dans les versions antérieures de la zone d'atterrissage, jusqu'à ce que vous mettiez à jour votre zone d'atterrissage.

Qu'est-ce que le compte d'archivage des journaux ?

Ce compte fonctionne comme un référentiel pour les journaux des activités de l'API et des configurations de ressources de tous les comptes de la zone de destination.

Lorsque vous configurez votre zone d'atterrissage, les AWS ressources suivantes sont créées dans votre compte d'archivage des journaux.

Service AWS	Type de ressource	Nom de la ressource
AWS CloudFormation	Piles	StackSet-AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-READ-PROHIBITED- StackSet-AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-WRITE-PROHIBITED StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH- StackSet-AWSControlTowerBP-BASELINE-CONFIG- StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL- StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES- StackSet-AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLE-(In 3.2 and later) StackSet-AWSControlTowerBP-BASELINE-ROLES- StackSet-AWSControlTowerLoggingResources-
AWS Config	AWS Config Rules	AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_READ_PROHIBITED AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_WRITE_PROHIBIT
AWS CloudTrail	Suivis	aws-controltower-BaselineCloudTrail
Amazon CloudWatch	Règles d'événements CloudWatch	aws-controltower-ConfigComplianceChangeEventRule
Amazon CloudWatch	Journaux CloudWatch	aws-controltower/CloudTrailLogs /aws/lambda/aws-controltower-NotificationForwarder
AWS Identity and Access Management	Roles	aws-controltower-AdministratorExecutionRole aws-controltower-CloudWatchLogsRole aws-controltower-ConfigRecorderRole aws-controltower-ForwardSnsNotificationRole aws-controltower-ReadOnlyExecutionRole AWSControlTowerExecution
AWS Identity and Access Management	Politiques	AWSControlTowerServiceRolePolicy
Amazon Simple Notification Service	Rubriques	aws-controltower-SecurityNotifications
AWS Lambda	Applications	StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-*
AWS Lambda	Fonctions	aws-controltower-NotificationForwarder
Amazon Simple Storage Service	Compartiments	aws-controltower-logs-* aws-controltower-s3-access-logs-*

Qu'est-ce que le compte d'audit ?

Le compte d'audit est un compte restreint conçu pour permettre à vos équipes de sécurité et de conformité d'accéder en lecture et en écriture à tous les comptes de votre zone d'atterrissage. Depuis le compte d'audit, vous disposez d'un accès par programmation pour passer en revue les comptes, au moyen d'un rôle qui est accordé uniquement aux fonctions Lambda. Le compte d'audit ne vous permet pas de vous connecter manuellement à d'autres comptes. Pour plus d'informations sur les fonctions et les rôles Lambda, voir Configurer une fonction Lambda pour qu'elle assume le rôle d'une autre fonction. Compte AWS

Lorsque vous configurez votre zone d'atterrissage, les AWS ressources suivantes sont créées dans votre compte d'audit.

Service AWS	Type de ressource	Nom de la ressource
AWS CloudFormation	Piles	StackSet-AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-READ-PROHIBITED- StackSet-AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-WRITE-PROHIBITED- StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH- StackSet-AWSControlTowerBP-BASELINE-CONFIG- StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL- StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES- StackSet-AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLE-(In 3.2 and later) StackSet-AWSControlTowerBP-SECURITY-TOPICS- StackSet-AWSControlTowerBP-BASELINE-ROLES- StackSet-AWSControlTowerSecurityResources-*
AWS Config	Agrégateur	aws-controltower-GuardrailsComplianceAggregator
AWS Config	AWS Config Rules	AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_READ_PROHIBITED AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_WRITE_PROHIBITED
AWS CloudTrail	Journal d’activité	aws-controltower-BaselineCloudTrail
Amazon CloudWatch	Règles d'événements CloudWatch	aws-controltower-ConfigComplianceChangeEventRule
Amazon CloudWatch	Journaux CloudWatch	aws-controltower/CloudTrailLogs /aws/lambda/aws-controltower-NotificationForwarder
AWS Identity and Access Management	Roles	aws-controltower-AdministratorExecutionRole aws-controltower-CloudWatchLogsRole aws-controltower-ConfigRecorderRole aws-controltower-ForwardSnsNotificationRole aws-controltower-ReadOnlyExecutionRole aws-controltower-AuditAdministratorRole aws-controltower-AuditReadOnlyRole AWSControlTowerExecution
AWS Identity and Access Management	Politiques	AWSControlTowerServiceRolePolicy
Amazon Simple Notification Service	Rubriques	aws-controltower-AggregateSecurityNotifications aws-controltower-AllConfigNotifications aws-controltower-SecurityNotifications
AWS Lambda	Fonctions	aws-controltower-NotificationForwarder

Comment fonctionnent les commandes

Un contrôle est une règle de haut niveau qui fournit une gouvernance continue pour AWS l'ensemble de votre environnement. Chaque contrôle applique une règle unique, qui est exprimée en langage clair. Vous pouvez modifier les contrôles facultatifs ou fortement recommandés qui sont en vigueur, à tout moment, depuis la console AWS Control Tower ou les API AWS Control Tower. Les contrôles obligatoires sont toujours appliqués et ne peuvent pas être modifiés.

Les contrôles préventifs empêchent les actions de se produire. Par exemple, le contrôle facultatif appelé Interdire les modifications apportées à la politique des compartiments pour les compartiments Amazon S3 (précédemment appelé Interdire les modifications de politique dans les archives des journaux) empêche toute modification de la politique IAM au sein du compte partagé d'archives de journaux. Toute tentative de réalisation d'une action empêchée est refusée et consignée dans CloudTrail. La ressource est également consignée dans AWS Config.

Les commandes de détection détectent des événements spécifiques lorsqu'ils se produisent et enregistrent l'actionCloudTrail. Par exemple, le contrôle fortement recommandé intitulé Détecter si le chiffrement est activé pour les volumes Amazon EBS attachés aux instances Amazon EC2 détecte si un volume Amazon EBS non chiffré est associé à une instance EC2 dans votre zone de destination.

Les contrôles proactifs vérifient si les ressources sont conformes aux politiques et aux objectifs de votre entreprise, avant qu'elles ne soient provisionnées dans vos comptes. Si les ressources ne sont pas conformes, elles ne sont pas provisionnées. Les contrôles proactifs surveillent les ressources qui seraient déployées dans vos comptes au moyen de AWS CloudFormation modèles.

Pour ceux qui connaissent bien AWS : Dans AWS Control Tower, des contrôles préventifs sont mis en œuvre à l'aide de politiques de contrôle des services (SCP). Les contrôles de détective sont mis en œuvre avec AWS Config des règles. Les contrôles proactifs sont mis en œuvre à l'aide de AWS CloudFormation crochets.

Rubriques connexes

• À propos des contrôles dans AWS Control Tower

• Détectez et corrigez les dérives dans AWS Control Tower

Comment fonctionne AWS Control Tower avec StackSets

AWS Control Tower les utilise AWS CloudFormation StackSets pour configurer les ressources de vos comptes. Chaque ensemble de piles contient StackInstances ce qui correspond à des comptes et à Régions AWS chaque compte. AWS Control Tower déploie une instance de stack set par compte et par région.

AWS Control Tower applique des mises à jour à certains comptes de Régions AWS manière sélective, en fonction de AWS CloudFormation paramètres. Lorsque les mises à jour sont appliquées à certaines instances de pile, d'autres instances de pile peuvent être laissées à l'état Outdated (Obsolète). Ce comportement est attendu et normal.

Lorsqu'une instance de pile passe à l'état Outdated (Obsolète) cela signifie généralement que la pile correspondant à cette instance de pile n'est pas alignée avec le dernier modèle de l'ensemble de piles. La pile reste dans l'ancien modèle, de sorte qu'elle peut ne pas inclure les dernières ressources ou derniers paramètres. La pile est encore complètement utilisable.

Voici un bref résumé du comportement auquel vous pouvez vous attendre, en fonction des AWS CloudFormation paramètres spécifiés lors d'une mise à jour :

Si la mise à jour de l'ensemble de piles inclut des modifications apportées au modèle (c'est-à-dire si les TemplateURL propriétés TemplateBody ou sont spécifiées), ou si la Parameters propriété est spécifiée, AWS CloudFormation marque toutes les instances de pile avec le statut Obsolète avant de mettre à jour les instances de pile dans les comptes spécifiés etRégions AWS. Si la mise à jour de l'ensemble de piles n'inclut aucune modification du modèle ou des paramètres, AWS CloudFormation met à jour les instances de pile dans les comptes et les régions spécifiés, tout en conservant le statut d'instance de pile existant pour toutes les autres instances de pile. Pour mettre à jour toutes les instances de pile associées à un jeu de piles, ne spécifiez pas les propriétés Regions ou Accounts.

Pour plus d'informations, consultez la section Mettre à jour votre ensemble de piles dans le guide de AWS CloudFormation l'utilisateur.