Terminologie - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Terminologie

Voici un bref aperçu de certains termes que vous trouverez dans la documentation d'AWS Control Tower.

Tout d'abord, il est bon de savoir qu'AWS Control Tower partage une grande partie de la terminologie avec leAWS Organizationsservice, y compris les conditionsorganisationetunité d'organisation (UO), qui apparaissent tout au long de ce document.

  • Pour plus d'informations sur les organisations et les unités d'organisation, consultezAWS OrganizationsTerminologie et concepts relatifs à. Si vous découvrez AWS Control Tower, cette terminologie est un bon point de départ.

  •  AWS Organizationsest unAWSqui vous aide à gérer votre environnement de manière centralisée à mesure que vous développez et adaptez vos charges de travailAWS. AWS Control Tower s'appuie surAWS Organizationspour créer des comptes, pour appliquer des garde-fous préventifs au niveau des unités d'organisation et pour fournir une facturation centralisée.

  • UnAWSAccount Factoryest unAWScompte provisionné à l'aide de Account Factory dans AWS Control Tower. Parfois, Account Factory est désigné de manière informelle sous le nom de « distributeur automatique » pour les comptes.

  • AWS Control Toweraccueil Région d'accueilc'est leAWSRégion dans laquelle votre landing zone AWS Control Tower a été déployée. Vous pouvez voir votre région d'origine dans les paramètres de votre landing zone.

  • AWS Service Catalogvous permet de gérer les services informatiques couramment déployés, de manière centralisée. Dans le cadre de ce document, Account Factory utiliseAWS Service Catalogpour approvisionner de nouveauxAWScomptes.

  • AWS CloudFormation StackSets sont un type de ressource qui étend les fonctionnalités des piles afin que vous puissiez créer, mettre à jour ou supprimer des piles dans plusieurs comptes et régions en une seule opération et une seule opération et une seule opération et une seule opération. CloudFormationmodèle.

  • UNinstance de pileest une référence à une pile dans un compte de destination au sein d'une région.

  • UNempilerest une collection deAWSressources que vous gérez comme une seule unité.

  • UnAgrégateurest unAWS Configtype de ressource qui collecteAWS Configdonnées de configuration et de conformité de plusieurs comptes et régions au sein de l'organisation, vous permettant de consulter et interroger ces données de conformité dans un seul compte.

  • UNpack de conformitéest une collection deAWS Configrègles et actions de correction qui peuvent être déployées en tant qu'entité unique dans un compte et une région, ou dans l'ensemble d'une organisation dans.AWS Organizations. Vous pouvez utiliser un pack de conformité pour personnaliser votre environnement AWS Control Tower. Pour des blogs techniques qui fournissent de plus amples informations, veuillez consulterInformations connexes.

  • Base de référence :Pour établir une référence sur un compte, il convient de configurer ses plans et ses barrières de sécurité. Le processus de référence configure également la journalisation centralisée et les rôles d'audit de sécurité sur le compte, dans le cadre du déploiement des plans. Les lignes de base d'AWS Control Tower sont contenues dans les rôles que vous appliquez à chaque compte inscrit.

  • Dérive :Modification d'une ressource installée et configurée par AWS Control Tower. Des ressources sans dérive permettent à AWS Control Tower de fonctionner correctement.

  • Ressource non conforme : Une ressource qui enfreint uneAWS Configrègle qui définit un garde-corps de détective particulier.

  • Compte partagé : AWS Control Tower et le compte d'audit. Vous pouvez choisir des noms personnalisés pour le compte d'archivage des journaux et le compte d'audit, lors de la configuration.

  • Compte membre : Un compte de membre appartient à l'organisation AWS Control Tower. Le compte de membre peut êtreinscritsounon inscritAWS Control Tower. Lorsqu'une unité d'organisation enregistrée contient un mélange de comptes inscrits et non inscrits :

    • Les garde-fous préventifs activés sur l'unité d'organisation s'appliquent à tous les comptes qu'elle contient, y compris ceux qui ne sont pas inscrits. Cela est vrai parce que des garde-fous préventifs sont appliqués aux points de service au niveau de l'unité d'organisation, et non au niveau du compte. Pour de plus amples informations, veuillez consulterHéritage pour les stratégies de contrôle de servicedans leAWS Organizations.

    • Detective garde-fous de détection activés sur l'unité d'organisation ne s'appliquent pas aux comptes non inscrits.

    Un compte ne peut être membre que d'une seule organisation à la fois et ses frais sont facturés sur le compte de gestion de cette organisation. Un compte de membre peut être déplacé vers le conteneur racine d'une organisation.

  • AWScompte : UnAWScompte agit comme un conteneur de ressources et une limite d'isolation des ressources. UnAWScompte peut être associé à la facturation et au paiement. UnAWScompte est différent d'un compte d'utilisateur (parfois appeléCompte IAM) dans AWS Control Tower. Les comptes créés via le processus de provisionnement Account Factory sontAWScomptes.AWSles comptes peuvent également être ajoutés à AWS Control Tower par le biais du processus d'inscription du compte ou d'enregistrement de l'unité d'organisation.

  • Barrières de sécurité : Une barrière de sécurité est une règle de haut niveau qui fournit une gouvernance continue dans l'ensemble de votre environnement AWS Control Tower. Chaque garde-corps applique une seule règle. Des garde-corps préventifs sont mis en œuvre avec les SCP. Les garde-corps Detective sont implémentés avec AAWS Configrègles. Pour plus d'informations, consultez Fonctionnement des barrières de sécurité.

  • Zone d'atterrissage : Une landing zone est un environnement cloud qui propose un point de départ recommandé, y compris les comptes par défaut, la structure des comptes, la disposition du réseau et de la sécurité, etc. À partir d'une landing zone, vous pouvez déployer des charges de travail qui utilisent vos solutions et applications.

  • UO imbriquée : Une unité d'organisation imbriquée dans AWS Control Tower est une unité d'organisation contenue dans une autre unité d'organisation. Une unité d'organisation imbriquée peut posséder une seule unité d'organisation parent et chaque compte peut être un membre d'une seule unité d'organisation. Les unités d'organisation imbriquées créent une hiérarchie. Lorsque vous attachez une stratégie à l'une des unités d'organisation de la hiérarchie, elle se transmet et affecte toutes les unités d'organisation et comptes en dessous. Une hiérarchie d'unités d'organisation imbriquées dans AWS Control Tower peut comporter au maximum cinq niveaux.

  • UO parent : L'unité d'organisation immédiatement au-dessus de l'unité d'organisation actuelle dans la hiérarchie. Chaque unité d'organisation peut avoir exactement une unité d'organisation parent.

  • UO enfant : Toute unité d'organisation inférieure à l'unité d'organisation actuelle dans la hiérarchie. Une UO peut avoir plusieurs unités d'organisation enfants.

  • Hiérarchie d'unité Dans AWS Control Tower, la hiérarchie des unités d'organisation imbriquées peut comporter jusqu'à cinq niveaux. L'ordre d'imbrication est appeléNiveaux du kit. Le haut de la hiérarchie est désigné commeniveau 1.

  • UO de niveau supérieur : Une unité d'organisation de premier niveau est une unité d'organisation située directement sous la racine, et non la racine elle-même. La racine n'est pas considérée comme une unité d'organisation.