Informazioni su Account AWS AWS Control Tower

An Account AWS è il contenitore per tutte le risorse di tua proprietà. Queste risorse includono le identità AWS Identity and Access Management (IAM) accettate dall'account, che determinano chi ha accesso a tale account. Le identità IAM possono includere utenti, gruppi, ruoli e altro ancora. Per ulteriori informazioni su come lavorare con IAM, utenti, ruoli e policy in AWS Control Tower, consulta Gestione delle identità e degli accessi in AWS Control Tower.

Risorse e ora di creazione dell'account

Quando AWS Control Tower crea o registra un account, implementa la configurazione minima delle risorse necessaria per l'account, incluse risorse sotto forma di modelli Account Factory e altre risorse nella landing zone. Queste risorse possono includere ruoli IAM, AWS CloudTrail percorsi, prodotti forniti da Service Catalog e utenti di IAM Identity Center. AWS Control Tower distribuisce anche risorse, come richiesto dalla configurazione di controllo, per l'unità organizzativa (OU) in cui il nuovo account è destinato a diventare un account membro.

AWS Control Tower orchestra la distribuzione di queste risorse per tuo conto. Potrebbero essere necessari diversi minuti per risorsa per completare la distribuzione, quindi considera il tempo totale prima di creare o registrare un account. Per ulteriori informazioni sulla gestione delle risorse nei tuoi account, consultaLinee guida per la creazione e la modifica delle risorse AWS Control Tower.

Considerazioni sull'utilizzo degli account di sicurezza o di registrazione esistenti

Prima di accettare un Account AWS account di sicurezza o di registrazione, AWS Control Tower verifica l'eventuale presenza di risorse in conflitto con i requisiti di AWS Control Tower. Ad esempio, potresti avere un bucket di registrazione con lo stesso nome richiesto da AWS Control Tower. Inoltre, AWS Control Tower verifica che l'account sia in grado di effettuare il provisioning delle risorse, ad esempio assicurando che AWS Security Token Service (AWS STS) sia abilitato, che l'account non sia sospeso e che AWS Control Tower sia autorizzata a fornire risorse all'interno dell'account.

AWS Control Tower non rimuove alcuna risorsa esistente negli account di registrazione e sicurezza forniti. Tuttavia, se scegli di abilitare la funzionalità di Regione AWS negazione, il Region deny control impedisce l'accesso alle risorse nelle regioni negate.

Informazioni sugli account condivisi

Tre speciali Account AWS sono associati ad AWS Control Tower: l'account di gestione, l'account di audit e l'account di archiviazione dei log. Questi account vengono generalmente definiti account condivisi o talvolta account principali.

• Puoi selezionare nomi personalizzati per gli account di controllo e di archiviazione dei log durante la configurazione della landing zone. Per informazioni sulla modifica del nome di un account, consulta Modificare esternamente i nomi delle risorse AWS Control Tower.

• Puoi anche specificare un account di sicurezza o di registrazione esistente Account AWS come AWS Control Tower durante il processo di configurazione iniziale della landing zone. Questa opzione elimina la necessità per AWS Control Tower di creare nuovi account condivisi. (Questa è una selezione una tantum).

Per ulteriori informazioni sugli account condivisi e sulle risorse associate, consultaRisorse create negli account condivisi.

Gestione dell'account

Questo Account AWS lancia AWS Control Tower. Per impostazione predefinita, l'utente root di questo account e l'utente IAM o l'utente amministratore IAM per questo account hanno accesso completo a tutte le risorse all'interno della landing zone.

Nota

Come best practice, consigliamo di accedere come utente IAM Identity Center con privilegi di amministratore quando esegue funzioni amministrative all'interno della console AWS Control Tower, anziché accedere come utente root o utente amministratore IAM per questo account.

Per ulteriori informazioni sui ruoli e le risorse disponibili nell'account di gestione, consultaRisorse create negli account condivisi.

Account di archivio dei log

L'account condiviso dell'archivio dei log viene configurato automaticamente quando crei la landing zone.

Questo account contiene un bucket Amazon S3 centrale per l'archiviazione di una copia di tutti i file AWS CloudTrail e di AWS Config registro per tutti gli altri account nella tua landing zone. Come best practice, consigliamo di limitare l'accesso agli account di archiviazione dei log ai team responsabili della conformità e delle indagini e ai relativi strumenti di sicurezza o controllo. Questo account può essere utilizzato per controlli di sicurezza automatici o per ospitare funzioni personalizzate Regole di AWS Config, come le funzioni Lambda, per eseguire azioni correttive.

Politica sui bucket Amazon S3

Per la landing zone di AWS Control Tower versione 3.3 e successive, gli account devono soddisfare una aws:SourceOrgID condizione per qualsiasi autorizzazione di scrittura nel bucket Audit. Questa condizione garantisce che CloudTrail solo i log possano scrivere log per conto degli account all'interno dell'organizzazione nel bucket S3; impedisce ai CloudTrail log esterni all'organizzazione di scrivere nel bucket AWS Control Tower S3. Per ulteriori informazioni, consulta Landing zone di AWS Control Tower versione 3.3.

Per ulteriori informazioni sui ruoli e le risorse disponibili nell'account di archiviazione dei log, consulta Registra e archivia le risorse dell'account

Nota

Questi registri non possono essere modificati. Tutti i registri vengono archiviati ai fini delle indagini di controllo e conformità relative all'attività dell'account.

Account di audit

Questo account condiviso viene configurato automaticamente quando crei la landing zone.

L'account di audit dovrebbe essere riservato ai team di sicurezza e conformità con ruoli trasversali di auditor (sola lettura) e amministratore (accesso completo) a tutti gli account nella landing zone. Questi ruoli sono destinati a essere utilizzati dai team di sicurezza e conformità per:

• Esegui controlli tramite AWS meccanismi, come l'hosting di funzioni Lambda con AWS Config regole personalizzate.

• Esegui operazioni di sicurezza automatizzate, come azioni di riparazione.

L'account di controllo riceve anche notifiche tramite il servizio Amazon Simple Notification Service (Amazon SNS). È possibile ricevere tre categorie di notifiche:

• Tutti gli eventi di configurazione: questo argomento aggrega tutte CloudTrail le AWS Config notifiche provenienti da tutti gli account nella tua landing zone.

• Notifiche di sicurezza aggregate: questo argomento aggrega tutte le notifiche di sicurezza relative a CloudWatch eventi specifici, eventi di modifica dello stato di Regole di AWS Config conformità e risultati. GuardDuty

• Notifiche di deriva: questo argomento aggrega tutti gli avvisi di deriva rilevati in tutti gli account, gli utenti, le unità organizzative e gli SCP nella tua landing zone. Per ulteriori informazioni sulla deriva, consulta. Rileva e risolvi la deriva in AWS Control Tower

Le notifiche di controllo che vengono attivate all'interno di un account membro possono anche inviare avvisi su un argomento locale di Amazon SNS. Questa funzionalità consente agli amministratori degli account di iscriversi alle notifiche di controllo specifiche per un singolo account membro. Di conseguenza, gli amministratori possono risolvere i problemi che riguardano un singolo account, aggregando comunque tutte le notifiche relative all'account di controllo centralizzato. Per ulteriori informazioni, consulta la Guida per gli sviluppatori di Amazon Simple Notification Service.

Per ulteriori informazioni sui ruoli e le risorse disponibili nell'account di controllo, vedere. Controlla le risorse dell'account

Per ulteriori informazioni sul controllo programmatico, consulta Ruoli programmatici e relazioni di fiducia per l'account di audit AWS Control Tower.

Importante

L'indirizzo e-mail fornito per l'account di audit riceve e-mail di AWS notifica - conferma della sottoscrizione da tutti quelli Regione AWS supportati da AWS Control Tower. Per ricevere e-mail di conformità nel tuo account di audit, devi scegliere il link di conferma dell'iscrizione all'interno di ogni e-mail di ciascuna e-mail Regione AWS supportata da AWS Control Tower.