Tentang Akun AWS di AWS Control Tower

An Akun AWS adalah wadah untuk semua sumber daya milik Anda. Sumber daya ini termasuk identitas AWS Identity and Access Management (IAM) yang diterima oleh akun, yang menentukan siapa yang memiliki akses ke akun itu. Identitas IAM dapat mencakup pengguna, grup, peran, dan banyak lagi. Untuk informasi selengkapnya tentang bekerja dengan IAM, pengguna, peran, dan kebijakan di AWS Control Tower, lihat Manajemen identitas dan akses di AWS Control Tower.

Sumber daya dan waktu pembuatan akun

Saat AWS Control Tower membuat atau mendaftarkan akun, AWS Control Tower akan menerapkan konfigurasi sumber daya minimum yang diperlukan untuk akun tersebut, termasuk sumber daya dalam bentuk templat Account Factory dan sumber daya lainnya di landing zone Anda. Sumber daya ini dapat mencakup peran IAM, AWS CloudTrail jejak, produk yang disediakan Service Catalog, dan pengguna IAM Identity Center. AWS Control Tower juga menyebarkan sumber daya, seperti yang dipersyaratkan oleh konfigurasi kontrol, untuk unit organisasi (OU) di mana akun baru ditakdirkan untuk menjadi akun anggota.

AWS Control Tower mengatur penerapan sumber daya ini atas nama Anda. Mungkin diperlukan beberapa menit per sumber daya untuk menyelesaikan penerapan, jadi pertimbangkan total waktu sebelum Anda membuat atau mendaftarkan akun. Untuk informasi selengkapnya tentang mengelola sumber daya di akun Anda, lihatPanduan untuk membuat dan memodifikasi sumber daya AWS Control Tower.

Pertimbangan untuk membawa akun keamanan atau pencatatan yang ada

Sebelum menerima akun Akun AWS keamanan atau logging, AWS Control Tower memeriksa akun untuk sumber daya yang bertentangan dengan persyaratan AWS Control Tower. Misalnya, Anda mungkin memiliki bucket logging dengan nama yang sama dengan AWS Control Tower. Selain itu, AWS Control Tower memvalidasi bahwa akun dapat menyediakan sumber daya; misalnya, dengan memastikan bahwa AWS Security Token Service (AWS STS) diaktifkan, bahwa akun tidak ditangguhkan, dan AWS Control Tower memiliki izin untuk menyediakan sumber daya di dalam akun.

AWS Control Tower tidak menghapus sumber daya apa pun yang ada di akun pencatatan dan keamanan yang Anda berikan. Namun, jika Anda memilih untuk mengaktifkan kemampuan penolakan, kontrol penolakan Wilayah mencegah akses ke sumber daya di Wilayah yang ditolak. Wilayah AWS

Tentang akun bersama

Tiga khusus Akun AWS dikaitkan dengan AWS Control Tower; akun manajemen, akun audit, dan akun arsip log. Akun-akun ini biasanya disebut sebagai akun bersama, atau terkadang sebagai akun inti.

• Anda dapat memilih nama yang disesuaikan untuk akun audit dan arsip log saat menyiapkan landing zone. Untuk informasi tentang mengubah nama akun, lihat Mengubah nama sumber daya AWS Control Tower secara eksternal.

• Anda juga dapat menentukan yang sudah ada Akun AWS sebagai akun keamanan atau logging AWS Control Tower, selama proses penyiapan landing zone awal. Opsi ini menghilangkan kebutuhan AWS Control Tower untuk membuat akun baru yang dibagikan. (Ini adalah pilihan satu kali.)

Untuk informasi selengkapnya tentang akun bersama dan sumber daya terkait, lihatSumber daya yang dibuat di akun bersama.

Akun manajemen

Ini Akun AWS meluncurkan AWS Control Tower. Secara default, pengguna root untuk akun ini dan pengguna IAM atau pengguna administrator IAM untuk akun ini memiliki akses penuh ke semua sumber daya dalam landing zone Anda.

catatan

Sebagai praktik terbaik, sebaiknya masuk sebagai pengguna Pusat Identitas IAM dengan hak Administrator saat menjalankan fungsi administratif dalam konsol AWS Control Tower, alih-alih masuk sebagai pengguna root atau pengguna administrator IAM untuk akun ini.

Untuk informasi selengkapnya tentang peran dan sumber daya yang tersedia di akun manajemen, lihatSumber daya yang dibuat di akun bersama.

Akun arsip log

Akun bersama arsip log diatur secara otomatis saat Anda membuat landing zone.

Akun ini berisi bucket Amazon S3 pusat untuk menyimpan salinan semua AWS CloudTrail dan AWS Config log file untuk semua akun lain di landing zone Anda. Sebagai praktik terbaik, kami merekomendasikan untuk membatasi akses akun arsip log ke tim yang bertanggung jawab atas kepatuhan dan investigasi, serta alat keamanan atau audit terkait mereka. Akun ini dapat digunakan untuk audit keamanan otomatis, atau untuk meng-host kustom Aturan AWS Config, seperti fungsi Lambda, untuk melakukan tindakan remediasi.

Kebijakan bucket Amazon S3

Untuk AWS Control Tower landing zone versi 3.3 dan yang lebih baru, akun harus memenuhi aws:SourceOrgID persyaratan untuk izin menulis apa pun ke bucket Audit Anda. Kondisi ini memastikan bahwa CloudTrail hanya dapat menulis log atas nama akun dalam organisasi Anda ke bucket S3 Anda; ini mencegah CloudTrail log di luar organisasi Anda menulis ke bucket AWS Control Tower S3 Anda. Untuk informasi selengkapnya, lihat AWS Control Tower landing zone versi 3.3.

Untuk informasi selengkapnya tentang peran dan sumber daya yang tersedia di akun arsip log, lihat Sumber daya akun arsip log

catatan

Log ini tidak dapat diubah. Semua log disimpan untuk tujuan audit dan investigasi kepatuhan yang terkait dengan aktivitas akun.

Akun audit

Akun bersama ini diatur secara otomatis saat Anda membuat landing zone.

Akun audit harus dibatasi untuk tim keamanan dan kepatuhan dengan peran lintas akun auditor (read-only) dan administrator (akses penuh) untuk semua akun di landing zone. Peran ini dimaksudkan untuk digunakan oleh tim keamanan dan kepatuhan untuk:

• Lakukan audit melalui AWS mekanisme, seperti menghosting fungsi Lambda AWS Config aturan kustom.

• Lakukan operasi keamanan otomatis, seperti tindakan remediasi.

Akun audit juga menerima pemberitahuan melalui layanan Amazon Simple Notification Service (Amazon SNS). Tiga kategori pemberitahuan dapat diterima:

• Semua Peristiwa Konfigurasi — Topik ini menggabungkan semua CloudTrail dan AWS Config pemberitahuan dari semua akun di landing zone Anda.

• Pemberitahuan Keamanan Agregat — Topik ini menggabungkan semua pemberitahuan keamanan dari CloudWatch peristiwa tertentu, peristiwa perubahan status Aturan AWS Config kepatuhan, dan GuardDuty temuan.

• Pemberitahuan Drift — Topik ini menggabungkan semua peringatan drift yang ditemukan di semua akun, pengguna, OU, dan SCP di landing zone Anda. Untuk informasi lebih lanjut tentang drift, lihatMendeteksi dan mengatasi penyimpangan di AWS Control Tower.

Pemberitahuan audit yang dipicu dalam akun anggota juga dapat mengirim peringatan ke topik Amazon SNS lokal. Fungsi ini memungkinkan administrator akun untuk berlangganan pemberitahuan audit yang khusus untuk akun anggota individu. Akibatnya, administrator dapat menyelesaikan masalah yang memengaruhi akun individual, sambil tetap menggabungkan semua pemberitahuan akun ke akun audit terpusat Anda. Untuk informasi lebih lanjut, lihat Panduan Developer Amazon Simple Notification Service.

Untuk informasi selengkapnya tentang peran dan sumber daya yang tersedia di akun audit, lihatSumber daya akun audit.

Untuk informasi selengkapnya tentang audit terprogram, lihat Peran terprogram dan hubungan kepercayaan untuk akun audit AWS Control Tower.

penting

Alamat email yang Anda berikan untuk akun audit menerima email AWS Pemberitahuan - Konfirmasi Langganan dari setiap email yang Wilayah AWS didukung oleh AWS Control Tower. Untuk menerima email kepatuhan di akun audit Anda, Anda harus memilih tautan Konfirmasi langganan dalam setiap email dari masing-masing yang Wilayah AWS didukung oleh AWS Control Tower.