Terminologia

Ecco una breve rassegna di alcuni termini che vedrai nella documentazione di AWS Control Tower.

Innanzitutto, è bene sapere che AWS Control Tower condivide molta terminologia con il AWS Organizations servizio, inclusi i termini organizzazione e unità organizzativa (OU), che compaiono in questo documento.

• Per ulteriori informazioni su organizzazioni e unità organizzative, consulta la AWS Organizations terminologia e i concetti. Se non conosci AWS Control Tower, questa terminologia è un buon punto di partenza.

•  AWS Organizationsè un AWS servizio che ti aiuta a governare centralmente il tuo ambiente man mano che cresci e su cui scalare i carichi di lavoro. AWS AWS Control Tower si affida AWS Organizations alla creazione di account, all'applicazione di controlli preventivi a livello di unità organizzative e alla fatturazione centralizzata.

• Un AWS account Account Factory è un AWS account fornito utilizzando Account Factory in AWS Control Tower. A volte, Account Factory viene definita informalmente come un «distributore automatico» per gli account.

• La tua regione principale di AWS Control Tower è la AWS regione in cui è stata distribuita la tua landing zone di AWS Control Tower. Puoi visualizzare la tua regione d'origine nelle impostazioni della landing zone.

• AWS Service Catalogconsente di gestire centralmente i servizi IT più diffusi. Nel contesto di questo documento, Account Factory utilizza AWS Service Catalog per fornire nuovi AWS account, inclusi gli account provenienti da progetti personalizzati.

• AWS CloudFormation StackSetssono un tipo di risorsa che estende la funzionalità degli stack in modo da poter creare, aggiornare o eliminare gli stack su più account e regioni con un'unica operazione e un unico modello. CloudFormation

• Un'istanza stack è un riferimento a uno stack in un account di destinazione all'interno di una regione.

• Uno stack è una raccolta di AWS risorse che puoi gestire come singola unità.

• Un aggregatore è un tipo di AWS Config risorsa che raccoglie i dati di AWS Config configurazione e conformità da più account e regioni all'interno dell'organizzazione, consentendoti di visualizzare e interrogare questi dati di conformità all'interno di un singolo account.

• Un pacchetto di conformità è una raccolta di AWS Config regole e azioni correttive che possono essere implementate come singola entità in un account e in una regione oppure all'interno di un'organizzazione in. AWS Organizations Puoi utilizzare un pacchetto di conformità per personalizzare il tuo ambiente AWS Control Tower. Per i blog tecnici che forniscono maggiori dettagli, consulta Informazioni correlate.

• Una linea di base in AWS Control Tower è un gruppo di risorse e configurazioni specifiche che puoi applicare a un target. L'obiettivo di base più comune può essere un'unità organizzativa (OU). Ad esempio, la linea di base chiamata AWSControlTowerBaseline è disponibile per facilitare la registrazione delle unità organizzative con AWS Control Tower. Durante la configurazione e l'aggiornamento della landing zone, l'obiettivo di base può essere un account condiviso o un'impostazione specifica per la landing zone nel suo insieme.

• Blueprint: un blueprint è un artefatto che incapsula alcuni metadati e descrive i componenti dell'infrastruttura che vengono distribuiti all'interno di un account. Ad esempio, un AWS CloudFormation modello può fungere da modello per un account AWS Control Tower.

• Drift: modifica di una risorsa installata e configurata da AWS Control Tower. Le risorse senza deriva consentono ad AWS Control Tower di funzionare correttamente.

• Risorsa non conforme: una risorsa che viola una AWS Config regola che definisce un particolare controllo investigativo.

• Account condiviso: uno dei tre account che AWS Control Tower crea automaticamente quando configuri la landing zone: l'account di gestione, l'account di archiviazione dei log e l'account di audit. Puoi scegliere nomi personalizzati per l'account di archiviazione dei log e l'account di controllo durante la configurazione.

• Account membro: un account membro appartiene all'organizzazione AWS Control Tower. L'account membro può essere registrato o annullato in AWS Control Tower. Quando un'unità organizzativa registrata contiene una combinazione di account registrati e non registrati:

  • I controlli preventivi abilitati sull'unità organizzativa si applicano a tutti gli account al suo interno, compresi quelli non registrati. Questo è vero perché i controlli preventivi vengono applicati agli SCP a livello di unità organizzativa, non a livello di account. Per ulteriori informazioni, consulta Inheritance for service control policies nella documentazione. AWS Organizations

  • I controlli Detective abilitati sull'unità organizzativa non si applicano agli account non registrati.

  Un account può essere membro di una sola organizzazione alla volta e i relativi addebiti vengono fatturati sull'account di gestione di tale organizzazione. Un account membro può essere spostato nel contenitore principale di un'organizzazione.

• AWS account: un AWS account funge da contenitore di risorse e limite di isolamento delle risorse. Un AWS account può essere associato alla fatturazione e al pagamento. Un AWS account è diverso da un account utente (a volte chiamato account utente IAM) in AWS Control Tower. Gli account creati tramite il processo di provisioning di Account Factory sono AWS account. AWS gli account possono anche essere aggiunti ad AWS Control Tower tramite la procedura di registrazione dell'account o dell'unità organizzativa.

• Controllo: un controllo (noto anche come guardrail) è una regola di alto livello che fornisce una governance continua per l'intero ambiente AWS Control Tower. Ogni controllo applica una singola regola. I controlli preventivi vengono implementati con gli SCP. I controlli investigativi sono implementati con AWS Config delle regole. I controlli proattivi sono implementati con AWS CloudFormation ganci. Per ulteriori informazioni, consulta Come funzionano i controlli.

• Zona di atterraggio: una landing zone è un ambiente cloud che offre un punto di partenza consigliato, inclusi account predefiniti, struttura degli account, layout di rete e sicurezza e così via. Da una landing zone, puoi distribuire carichi di lavoro che utilizzano le tue soluzioni e applicazioni.

• Unità organizzativa annidata: un'unità organizzativa nidificata in AWS Control Tower è un'unità organizzativa contenuta all'interno di un'altra unità organizzativa. Un'unità organizzativa annidata può avere esattamente un'unità organizzativa principale e ogni account può essere membro di esattamente un'unità organizzativa. Le unità organizzative annidate creano una gerarchia. Quando si associa una politica a una delle unità organizzative della gerarchia, questa viene spostata verso il basso e ha effetto su tutte le unità organizzative e gli account sottostanti. Una gerarchia di unità organizzative annidate in AWS Control Tower può avere una profondità massima di cinque livelli.

• Unità organizzativa principale: l'unità organizzativa immediatamente superiore all'unità organizzativa corrente nella gerarchia. Ogni unità organizzativa può avere esattamente un'unità organizzativa principale.

• Unità organizzativa secondaria: qualsiasi unità organizzativa inferiore all'unità organizzativa corrente nella gerarchia. Un'unità organizzativa può avere molte unità organizzative figlie.

• Gerarchia delle unità organizzative: in AWS Control Tower, la gerarchia delle unità organizzative annidate può avere fino a cinque livelli. L'ordine di nidificazione è denominato Livelli. La parte superiore della gerarchia è designata come Livello 1.

• Unità organizzativa di primo livello: un'unità organizzativa di primo livello è qualsiasi unità organizzativa che si trova direttamente sotto la radice, non la radice stessa. La radice non è considerata un'unità organizzativa.