Sobre Contas da AWS na AWS Control Tower - AWS Control Tower
Considerações sobre como trazer contas de segurança ou registro existentesSobre as contas compartilhadas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Sobre Contas da AWS na AWS Control Tower

An Conta da AWS é o contêiner para todos os seus recursos próprios. Esses recursos incluem as identidades AWS Identity and Access Management (IAM) aceitas pela conta, que determinam quem tem acesso a essa conta. As identidades do IAM podem incluir usuários, grupos, funções e muito mais. Para obter mais informações sobre como trabalhar com IAM, usuários, funções e políticas na AWS Control Tower, consulte Gerenciamento de identidade e acesso na AWS Control Tower.

Recursos e tempo de criação da conta

Quando o AWS Control Tower cria ou inscreve uma conta, ele implanta a configuração mínima necessária de recursos para a conta, incluindo recursos na forma de modelos de Account Factory e outros recursos em sua landing zone. Esses recursos podem incluir funções do IAM, AWS CloudTrail trilhas, produtos provisionados pelo Service Catalog e usuários do IAM Identity Center. O AWS Control Tower também implanta recursos, conforme exigido pela configuração de controle, para a unidade organizacional (OU) na qual a nova conta está destinada a se tornar uma conta membro.

O AWS Control Tower orquestra a implantação desses recursos em seu nome. Pode ser necessário vários minutos por recurso para concluir a implantação, portanto, considere o tempo total antes de criar ou inscrever uma conta. Para obter mais informações sobre como gerenciar recursos em suas contas, consulteOrientação para criar e modificar recursos do AWS Control Tower.

Considerações sobre como trazer contas de segurança ou registro existentes

Antes de aceitar uma conta Conta da AWS como de segurança ou de registro, a AWS Control Tower verifica a conta em busca de recursos que estejam em conflito com os requisitos da AWS Control Tower. Por exemplo, você pode ter um bucket de registro com o mesmo nome exigido pelo AWS Control Tower. Além disso, o AWS Control Tower valida que a conta pode provisionar recursos; por exemplo, garantindo que AWS Security Token Service (AWS STS) esteja habilitado, que a conta não seja suspensa e que a AWS Control Tower tenha permissão para provisionar recursos dentro da conta.

O AWS Control Tower não remove nenhum recurso existente nas contas de registro e segurança que você fornece. No entanto, se você optar por ativar o recurso de Região da AWS negação, o controle de negação de região impedirá o acesso a recursos em regiões negadas.

Sobre as contas compartilhadas

Três especiais Contas da AWS estão associados ao AWS Control Tower: a conta de gerenciamento, a conta de auditoria e a conta de arquivamento de registros. Essas contas geralmente são chamadas de contas compartilhadas ou, às vezes, de contas principais.

  • Você pode selecionar nomes personalizados para as contas de auditoria e arquivamento de registros ao configurar sua landing zone. Para obter informações sobre como alterar o nome de uma conta, consulte Alteração externa de nomes de recursos do AWS Control Tower.

  • Você também pode especificar uma conta existente Conta da AWS como segurança ou de registro do AWS Control Tower durante o processo inicial de configuração da landing zone. Essa opção elimina a necessidade de o AWS Control Tower criar contas novas e compartilhadas. (Essa é uma seleção única.)

Para obter mais informações sobre as contas compartilhadas e seus recursos associados, consulteRecursos criados nas contas compartilhadas.

Conta de gerenciamento

Isso Conta da AWS lança o AWS Control Tower. Por padrão, o usuário root dessa conta e o usuário do IAM ou usuário administrador do IAM dessa conta têm acesso total a todos os recursos em sua landing zone.

nota

Como prática recomendada, recomendamos fazer login como usuário do IAM Identity Center com privilégios de administrador ao realizar funções administrativas no console do AWS Control Tower, em vez de fazer login como usuário raiz ou usuário administrador do IAM dessa conta.

Para obter mais informações sobre as funções e os recursos disponíveis na conta de gerenciamento, consulteRecursos criados nas contas compartilhadas.

Conta de arquivamento de logs

A conta compartilhada do arquivo de registros é configurada automaticamente quando você cria sua landing zone.

Essa conta contém um bucket central do Amazon S3 para armazenar uma cópia de todas as contas AWS CloudTrail e os arquivos de AWS Config log de todas as outras contas em sua landing zone. Como prática recomendada, recomendamos restringir o acesso à conta de arquivamento de registros às equipes responsáveis pela conformidade e pelas investigações e às ferramentas de segurança ou auditoria relacionadas. Essa conta pode ser usada para auditorias de segurança automatizadas ou para hospedar funções personalizadas Regras do AWS Config, como Lambda, para realizar ações de remediação.

Política de bucket do Amazon S3

Para a versão 3.3 e posterior da zona de pouso do AWS Control Tower, as contas devem atender a uma aws:SourceOrgID condição para qualquer permissão de gravação em seu bucket de auditoria. Essa condição garante que CloudTrail somente registros em nome de contas dentro de sua organização possam ser gravados em seu bucket do S3; ela impede que CloudTrail registros de fora da sua organização gravem em seu bucket S3 do AWS Control Tower. Para ter mais informações, consulte AWS Control Tower landing zone versão 3.3.

Para obter mais informações sobre as funções e os recursos disponíveis na conta de arquivamento de registros, consulte Recursos da conta de arquivamento de registros

nota

Esses registros não podem ser alterados. Todos os registros são armazenados para fins de investigações de auditoria e conformidade relacionadas à atividade da conta.

Conta de auditoria

Essa conta compartilhada é configurada automaticamente quando você cria sua landing zone.

A conta de auditoria deve ser restrita às equipes de segurança e conformidade com funções de auditor (somente leitura) e administrador (acesso total) entre contas em todas as contas na landing zone. Essas funções devem ser usadas pelas equipes de segurança e conformidade para:

  • Realize auditorias por meio de AWS mecanismos, como hospedar funções Lambda de AWS Config regras personalizadas.

  • Execute operações de segurança automatizadas, como ações de remediação.

A conta de auditoria também recebe notificações por meio do serviço Amazon Simple Notification Service (Amazon SNS). Três categorias de notificação podem ser recebidas:

  • Todos os eventos de configuração — Este tópico agrega todas as AWS Config notificações CloudTrail e notificações de todas as contas em sua landing zone.

  • Notificações de segurança agregadas — Este tópico agrega todas as notificações de segurança de CloudWatch eventos específicos, eventos de mudança de status de Regras do AWS Config conformidade e GuardDuty descobertas.

  • Notificações de deriva — Este tópico agrega todos os avisos de deriva descobertos em todas as contas, usuários, OUs e SCPs em sua landing zone. Para obter mais informações sobre deriva, consulteDetecte e resolva desvios no AWS Control Tower.

As notificações de auditoria que são acionadas em uma conta membro também podem enviar alertas para um tópico local do Amazon SNS. Essa funcionalidade permite que os administradores da conta se inscrevam para receber notificações de auditoria específicas de uma conta de membro individual. Como resultado, os administradores podem resolver problemas que afetam uma conta individual e, ao mesmo tempo, agregar todas as notificações da conta à sua conta de auditoria centralizada. Para obter mais informações, consulte o Guia do desenvolvedor do Amazon Simple Notification Service.

Para obter mais informações sobre as funções e os recursos disponíveis na conta de auditoria, consulteRecursos da conta de auditoria.

Para obter mais informações sobre auditoria programática, consulte. Funções programáticas e relações de confiança para a conta de auditoria do AWS Control Tower

Importante

O endereço de e-mail que você forneceu para a conta de auditoria recebe e-mails de AWS notificação e confirmação de assinatura de todos os e-mails Região da AWS suportados pelo AWS Control Tower. Para receber e-mails de conformidade em sua conta de auditoria, você deve escolher o link Confirmar assinatura em cada e-mail de cada um Região da AWS suportado pelo AWS Control Tower.