Qu'est-ce qu'AWS Control Tower ? - AWS Control Tower
FonctionnalitésComment AWS Control Tower interagit avec les autres services AWSUtilisez-vous AWS Control Tower pour la première fois ?

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Qu'est-ce qu'AWS Control Tower ?

AWS Control Tower offre un moyen simple de configurer et de gérer un environnement AWS multi-comptes, en suivant les meilleures pratiques prescriptives. AWS Control Tower orchestre les capacités de plusieurs autres AWS services, notamment AWS Organizations, et AWS Service Catalog AWS IAM Identity Center, pour créer une zone d'atterrissage en moins d'une heure. Les ressources sont configurées et gérées en votre nom.

L'orchestration d'AWS Control Tower étend les fonctionnalités de. AWS OrganizationsPour protéger vos organisations et vos comptes contre la dérive, qui constitue une divergence par rapport aux meilleures pratiques, AWS Control Tower applique des contrôles (parfois appelés barrières de sécurité). Par exemple, vous pouvez utiliser des contrôles pour garantir que les journaux de sécurité et les autorisations d'accès entre comptes nécessaires sont créés, et non modifiés.

Si vous hébergez plusieurs comptes, il est avantageux de disposer d'une couche d'orchestration qui facilite le déploiement et la gouvernance des comptes. Vous pouvez adopter AWS Control Tower comme principal moyen de provisionner des comptes et une infrastructure. Avec AWS Control Tower, vous pouvez plus facilement adhérer aux normes de l'entreprise, satisfaire aux exigences réglementaires et suivre les meilleures pratiques.

AWS Control Tower permet aux utilisateurs finaux de vos équipes distribuées de créer rapidement de nouveaux AWS comptes, au moyen de modèles de comptes configurables dans Account Factory. Dans le même temps, vos administrateurs cloud centraux peuvent vérifier que tous les comptes sont conformes aux politiques de conformité établies à l'échelle de l'entreprise.

En bref, AWS Control Tower offre le moyen le plus simple de configurer et de gérer un AWS environnement multi-comptes sécurisé et conforme, basé sur les meilleures pratiques établies en collaboration avec des milliers d'entreprises. Pour plus d'informations sur l'utilisation d'AWS Control Tower et sur les meilleures pratiques décrites dans la stratégie AWS multi-comptes, consultezAWS stratégie multi-comptes : guide des meilleures pratiques.

Fonctionnalités

AWS Control Tower possède les fonctionnalités suivantes :

  • Zone d'atterrissage — Une zone d'atterrissage est un environnement multi-comptes bien conçu, basé sur les meilleures pratiques en matière de sécurité et de conformité. Il s'agit du conteneur à l'échelle de l'entreprise qui contient toutes vos unités organisationnelles (UO), comptes, utilisateurs et autres ressources que vous souhaitez soumettre à la réglementation de conformité. Une zone de destination peut être mise à l'échelle pour s'adapter aux besoins de l'entreprise, quelle que soit sa taille.

  • Contrôles — Un contrôle (parfois appelé garde-fou) est une règle de haut niveau qui fournit une gouvernance continue de votre environnement global AWS . Elle est exprimée en langage simple. Il existe trois types de contrôles : les contrôles préventifs, les contrôles de détection et les contrôles proactifs. Trois catégories de directives s'appliquent aux contrôles : obligatoires, fortement recommandés ou facultatifs. Pour plus d'informations sur les contrôles, consultezComment fonctionnent les commandes.

  • Account Factory — An Account Factory est un modèle de compte configurable qui permet de normaliser le provisionnement de nouveaux comptes grâce à des configurations de compte préapprouvées. AWS Control Tower propose une Account Factory intégrée qui permet d'automatiser le flux de travail de provisionnement des comptes dans votre organisation. Pour de plus amples informations, veuillez consulter Provisionner et gérer des comptes avec Account Factory.

  • Tableau de bord : le tableau de bord permet à votre équipe d'administrateurs cloud centraux de superviser en permanence votre zone d'atterrissage. Utilisez le tableau de bord pour voir les comptes provisionnés au sein de votre entreprise, les contrôles activés pour l'application des politiques, les contrôles activés pour la détection continue des non-conformités aux politiques et les ressources non conformes organisées par comptes et unités d'organisation.

AWS Control Tower repose sur des AWS services fiables et fiables AWS Service Catalog, notamment AWS IAM Identity Center, et AWS Organizations. Pour de plus amples informations, veuillez consulter Services intégrés.

Vous pouvez intégrer AWS Control Tower à d'autres AWS services dans une solution qui vous aide à migrer vos charges de travail existantes. AWSPour plus d'informations, consultez Comment tirer parti d'AWS Control Tower et CloudEndure migrer les charges de travail vers. AWS

Configuration, gouvernance et extensibilité

  • Configuration automatisée des comptes : AWS Control Tower automatise le déploiement et l'inscription des comptes au moyen d'un Account Factory (ou « distributeur automatique »), qui est conçu comme une abstraction au-dessus des produits fournis. AWS Service CatalogThe Account Factory peut créer et inscrire AWS des comptes, et automatise le processus d'application de contrôles et de politiques à ces comptes.

  • Gouvernance centralisée : en utilisant les fonctionnalités d'AWS Control Tower AWS Organizations, elle met en place un cadre garantissant une conformité et une gouvernance cohérentes dans votre environnement multi-comptes. Le AWS Organizations service fournit des fonctionnalités essentielles pour gérer un environnement multi-comptes, notamment la gouvernance et la gestion centralisées des comptes, la création de comptes à partir d' AWS Organizations API et les politiques de contrôle des services (SCP).

  • Extensibilité : vous pouvez créer ou étendre votre propre environnement AWS Control Tower en travaillant directement dans AWS Organizationsou dans la console AWS Control Tower. Vous pouvez voir vos modifications reflétées dans AWS Control Tower après avoir enregistré vos organisations existantes et inscrit vos comptes existants dans AWS Control Tower. Vous pouvez mettre à jour la zone de landing de votre AWS Control Tower en fonction de vos modifications. Si vos charges de travail nécessitent des fonctionnalités avancées supplémentaires, vous pouvez tirer parti des solutions d'autres AWS partenaires, ainsi que d'AWS Control Tower.

Utilisez-vous AWS Control Tower pour la première fois ?

Si c'est la première fois que vous utilisez ce service, nous vous recommandons de lire ce qui suit :

  1. Si vous avez besoin de plus d'informations sur la façon de planifier et d'organiser votre zone d'atterrissage, consultez Planifiez la zone de landing de votre AWS Control Tower etAWS stratégie multi-comptes pour votre zone de landing zone AWS Control Tower.

  2. Si vous êtes prêt à créer votre première zone de destination, veuillez consulter Commencer à utiliser AWS Control Tower.

  3. Pour de plus amples informations sur la prévention et la détection de la dérive, veuillez consulter Détectez et corrigez les dérives dans AWS Control Tower.

  4. Pour les détails de sécurité, veuillez consulter Sécurité dans AWS Control Tower.

  5. Pour plus d'informations sur la mise à jour de votre zone de landing zone et de vos comptes membres, consultezGestion des mises à jour de configuration dans AWS Control Tower.