Étape 1 : Créez les adresses e-mail de votre compte partagé - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 1 : Créez les adresses e-mail de votre compte partagé

Si vous configurez votre zone d'atterrissage dans une nouvelle zone Compte AWS, consultezConfiguration.

  • Pour configurer votre zone de landing zone avec de nouveaux comptes partagés, AWS Control Tower a besoin de deux adresses e-mail uniques qui ne sont pas encore associées à un Compte AWS. Chacune de ces adresses e-mail servira de boîte de réception collaborative (un compte e-mail partagé) destinée aux différents utilisateurs de votre entreprise chargés de tâches spécifiques liées à AWS Control Tower.

  • Si vous configurez AWS Control Tower pour la première fois, et si vous intégrez des comptes de sécurité et d'archivage de journaux existants dans AWS Control Tower, vous pouvez saisir les adresses e-mail actuelles des AWS comptes existants.

Les adresses e-mail sont obligatoires pour :

  • Compte d'audit : ce compte est destiné à votre équipe d'utilisateurs qui ont besoin d'accéder aux informations d'audit mises à disposition par AWS Control Tower. Vous pouvez également utiliser ce compte en tant que point d'accès pour les outils tiers qui effectuent l'audit par programmation de votre environnement pour vous aider à effectuer l'audit à des fins de conformité.

  • Compte d'archivage des journaux : ce compte est destiné à votre équipe d'utilisateurs qui ont besoin d'accéder à toutes les informations de connexion de tous vos comptes inscrits au sein des unités d'organisation enregistrées dans votre zone de landing zone.

Ces comptes sont configurés dans l'unité d'organisation de sécurité lorsque vous créez votre zone de landing zone. À titre de bonne pratique, nous vous recommandons, lorsque vous effectuez des actions sur ces comptes, d'utiliser un utilisateur IAM Identity Center disposant des autorisations appropriées.

Note

Si vous spécifiez AWS des comptes existants comme comptes d'audit et d'archivage des journaux, les comptes existants doivent passer certains contrôles avant le lancement afin de garantir qu'aucune ressource n'est en conflit avec les exigences d'AWS Control Tower. Si ces vérifications échouent, il se peut que la configuration de votre zone d'atterrissage échoue. En particulier, les comptes ne doivent pas disposer de AWS Config ressources existantes. Pour plus d’informations, consultez Considérations relatives à l'ajout de comptes de sécurité ou de journalisation existants.

Dans un souci de clarté, le présent guide de l'utilisateur fait toujours référence aux comptes partagés par leurs noms par défaut : archivage des journaux et audit. Lorsque vous lisez ce document, n'oubliez pas de remplacer les noms personnalisés que vous donnez initialement à ces comptes, si vous choisissez de les personnaliser. Vous pouvez consulter vos comptes avec leurs noms personnalisés sur la page Détails du compte.

Note

Nous sommes en train de modifier notre terminologie concernant les noms par défaut de certaines unités organisationnelles (UO) d'AWS Control Tower afin de nous aligner sur la stratégie AWS multi-comptes. Vous remarquerez peut-être certaines incohérences lors de la transition visant à améliorer la clarté de ces noms. L'unité d'organisation de sécurité était auparavant appelée unité d'organisation principale. L'unité d'organisation Sandbox était auparavant appelée unité d'organisation personnalisée.