Cara Kerja AWS Control Tower - AWS Control Tower
Struktur AWS Control Tower Landing ZoneApa yang terjadi ketika Anda mengatur landing zoneApa saja akun bersama?Bagaimana kontrol bekerjaCara AWS Control Tower bekerja dengan StackSets

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara Kerja AWS Control Tower

Bagian ini menjelaskan pada tingkat tinggi cara kerja AWS Control Tower. Landing zone Anda adalah lingkungan multi-akun yang dirancang dengan baik untuk semua sumber daya Anda. AWS Anda dapat menggunakan lingkungan ini untuk menegakkan peraturan kepatuhan pada semua AWS akun Anda.

Struktur AWS Control Tower Landing Zone

Struktur landing zone di AWS Control Tower adalah sebagai berikut:

  • Root — Induk yang berisi semua OU lain di landing zone Anda.

  • Keamanan OU - OU ini berisi Arsip Log dan akun Audit. Akun-akun ini sering disebut sebagai akun bersama. Saat meluncurkan landing zone, Anda dapat memilih nama yang disesuaikan untuk akun bersama ini, dan Anda memiliki opsi untuk membawa AWS akun yang ada ke AWS Control Tower untuk keamanan dan pencatatan log. Namun, ini tidak dapat diganti namanya nanti, dan akun yang ada tidak dapat ditambahkan untuk keamanan dan pencatatan setelah peluncuran awal.

  • Sandbox OU - Sandbox OU dibuat saat Anda meluncurkan landing zone Anda, jika Anda mengaktifkannya. Ini dan OU terdaftar lainnya berisi akun terdaftar yang digunakan pengguna Anda untuk melakukan beban kerja AWS mereka.

  • Direktori IAM Identity Center — Direktori ini menampung pengguna IAM Identity Center Anda. Ini mendefinisikan ruang lingkup izin untuk setiap pengguna IAM Identity Center.

  • Pengguna IAM Identity Center — Ini adalah identitas yang dapat diasumsikan pengguna Anda untuk melakukan AWS beban kerja mereka di landing zone Anda.

Apa yang terjadi ketika Anda mengatur landing zone

Saat Anda menyiapkan landing zone, AWS Control Tower melakukan tindakan berikut di akun manajemen Anda atas nama Anda:

  • Menciptakan dua unit AWS Organizations organisasi (OU): Keamanan, dan Sandbox (opsional), yang terkandung dalam struktur akar organisasi.

  • Membuat atau menambahkan dua akun bersama di OU Keamanan: akun Arsip Log dan akun Audit.

  • Membuat direktori cloud-native di IAM Identity Center, dengan grup yang telah dikonfigurasi sebelumnya dan akses masuk tunggal, jika Anda memilih konfigurasi AWS Control Tower default, atau memungkinkan Anda mengelola sendiri penyedia identitas Anda.

  • Menerapkan semua kontrol preventif wajib untuk menegakkan kebijakan.

  • Menerapkan semua kontrol detektif wajib untuk mendeteksi pelanggaran konfigurasi.

  • Kontrol preventif tidak diterapkan ke akun manajemen.

  • Kecuali untuk akun manajemen, kontrol diterapkan pada organisasi secara keseluruhan.

Mengelola Sumber Daya dengan Aman dalam Zona Pendaratan AWS Control Tower dan Akun Anda

  • Saat Anda membuat landing zone, sejumlah AWS sumber daya dibuat. Untuk menggunakan AWS Control Tower, Anda tidak boleh mengubah atau menghapus sumber daya yang dikelola AWS Control Tower ini di luar metode yang didukung yang dijelaskan dalam panduan ini. Menghapus atau memodifikasi sumber daya ini akan menyebabkan landing zone Anda memasuki status yang tidak diketahui. Untuk detailnya, lihat Panduan untuk membuat dan memodifikasi sumber daya AWS Control Tower

  • Saat Anda mengaktifkan kontrol opsional (yang memiliki panduan yang sangat direkomendasikan atau elektif), AWS Control Tower membuat AWS sumber daya yang dikelola di akun Anda. Jangan mengubah atau menghapus sumber daya yang dibuat oleh AWS Control Tower. Melakukannya dapat mengakibatkan kontrol memasuki status yang tidak diketahui.

Apa saja akun bersama?

Di AWS Control Tower, akun bersama di landing zone Anda disediakan selama penyiapan: akun manajemen, akun arsip log, dan akun audit.

Apa akun manajemennya?

Ini adalah akun yang Anda buat khusus untuk landing zone Anda. Akun ini digunakan untuk penagihan untuk semua yang ada di landing zone Anda. Ini juga digunakan untuk penyediaan akun Account Factory, serta untuk mengelola OU dan kontrol.

catatan

Tidak disarankan untuk menjalankan semua jenis beban kerja produksi dari akun manajemen AWS Control Tower. Buat akun AWS Control Tower terpisah untuk menjalankan beban kerja Anda.

Untuk informasi selengkapnya, lihat Akun manajemen.

Apa itu akun arsip log?

Akun ini berfungsi sebagai repositori untuk log aktivitas API dan konfigurasi sumber daya dari semua akun di landing zone.

Untuk informasi selengkapnya, lihat Akun arsip log.

Apa itu akun audit?

Akun audit adalah akun terbatas yang dirancang untuk memberi tim keamanan dan kepatuhan Anda membaca dan menulis akses ke semua akun di landing zone Anda. Dari akun audit, Anda memiliki akses terprogram untuk meninjau akun, melalui peran yang diberikan kepada fungsi Lambda saja. Akun audit tidak memungkinkan Anda untuk masuk ke akun lain secara manual. Untuk informasi selengkapnya tentang fungsi dan peran Lambda, lihat Mengonfigurasi fungsi Lambda untuk mengambil peran dari yang lain. Akun AWS

Untuk informasi selengkapnya, lihat Akun audit.

Bagaimana kontrol bekerja

Kontrol adalah aturan tingkat tinggi yang menyediakan tata kelola berkelanjutan untuk lingkungan Anda secara keseluruhan AWS . Setiap kontrol memberlakukan satu aturan, dan itu diekspresikan dalam bahasa sederhana. Anda dapat mengubah kontrol elektif atau sangat disarankan yang berlaku, kapan saja, dari konsol AWS Control Tower atau AWS Control Tower API. Kontrol wajib selalu diterapkan, dan tidak dapat diubah.

Kontrol preventif mencegah tindakan terjadi. Misalnya, kontrol elektif yang disebut Disallow Changes to Bucket Policy for Amazon S3 Bucket (Sebelumnya disebut Disallow Policy Changes to Log Archive) mencegah perubahan kebijakan IAM dalam akun bersama arsip log. Setiap upaya untuk melakukan tindakan yang dicegah ditolak dan masuk CloudTrail. Sumber daya juga masuk AWS Config.

Kontrol Detektif mendeteksi peristiwa tertentu ketika terjadi dan mencatat tindakan. CloudTrail Misalnya, kontrol yang sangat disarankan yang disebut Deteksi Apakah Enkripsi Diaktifkan untuk Volume Amazon EBS yang Dilampirkan ke Instans Amazon EC2 mendeteksi apakah volume Amazon EBS yang tidak terenkripsi dilampirkan ke instans EC2 di landing zone Anda.

Kontrol proaktif memeriksa apakah sumber daya sesuai dengan kebijakan dan tujuan perusahaan Anda, sebelum sumber daya disediakan di akun Anda. Jika sumber daya di luar kepatuhan, mereka tidak disediakan. Kontrol proaktif memantau sumber daya yang akan digunakan di akun Anda melalui templat. AWS CloudFormation

Bagi mereka yang akrab dengan AWS: Di AWS Control Tower, kontrol preventif diimplementasikan dengan Service Control Policies (SCP). Kontrol detektif diimplementasikan dengan AWS Config aturan. Kontrol proaktif diimplementasikan dengan AWS CloudFormation kait.

Cara AWS Control Tower bekerja dengan StackSets

AWS Control Tower digunakan AWS CloudFormation StackSets untuk menyiapkan sumber daya di akun Anda. Setiap set tumpukan memiliki StackInstances yang sesuai dengan akun, dan untuk Wilayah AWS per akun. AWS Control Tower menerapkan satu instans set tumpukan per akun dan Wilayah.

AWS Control Tower menerapkan pembaruan ke akun tertentu dan Wilayah AWS secara selektif, berdasarkan AWS CloudFormation parameter. Ketika pembaruan diterapkan ke beberapa instance tumpukan, instance tumpukan lainnya mungkin dibiarkan dalam status usang. Perilaku ini diharapkan dan normal.

Ketika instance stack masuk ke status Outdated, biasanya berarti bahwa tumpukan yang sesuai dengan instance tumpukan itu tidak selaras dengan template terbaru dalam kumpulan tumpukan. Tumpukan tetap berada di template yang lebih lama, jadi mungkin tidak menyertakan sumber daya atau parameter terbaru. Tumpukan masih sepenuhnya dapat digunakan.

Berikut ringkasan singkat tentang perilaku apa yang diharapkan, berdasarkan AWS CloudFormation parameter yang ditentukan selama pembaruan:

Jika pembaruan set tumpukan menyertakan perubahan pada templat (yaitu, jika TemplateURL properti TemplateBody atau ditentukan), atau jika Parameters properti ditentukan, AWS CloudFormation tandai semua instance tumpukan dengan status Usang sebelum memperbarui instance tumpukan di akun yang ditentukan dan. Wilayah AWS Jika pembaruan set tumpukan tidak menyertakan perubahan pada templat atau parameter, AWS CloudFormation perbarui instance tumpukan di akun dan Wilayah yang ditentukan, sambil meninggalkan semua instance tumpukan lainnya dengan status instance tumpukan yang ada. Untuk memperbarui semua instance tumpukan yang terkait dengan kumpulan tumpukan, jangan tentukan Regions properti Accounts atau.

Untuk informasi selengkapnya, lihat Memperbarui Set Stack Anda di Panduan AWS CloudFormation Pengguna.