Práticas recomendadas para administradores do AWS Control Tower - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Práticas recomendadas para administradores do AWS Control Tower

Este tópico destina-se principalmente a administradores de contas de gerenciamento.

Os administradores de conta de gerenciamento são responsáveis por explicar algumas tarefas que as proteções da AWS Control Tower impedem que os administradores de contas-membro executem. Este tópico descreve algumas melhores práticas e procedimentos para transferir esse conhecimento e fornece outras dicas para configurar e fazer a manutenção do ambiente da AWS Control Tower de forma eficiente.

Explicar o acesso para os usuários

O console da AWS Control Tower está disponível somente para usuários com as permissões de administrador da conta de gerenciamento. Somente esses usuários podem executar o trabalho administrativo dentro de sua landing zone. De acordo com as melhores práticas, isso significa que a maioria dos seus usuários e administradores de conta de membro nunca verá o console da AWS Control Tower. Como membro do grupo de administradores de conta de gerenciamento, é sua responsabilidade explicar as informações a seguir aos usuários e administradores de suas contas-membro, conforme apropriado.

  • Explique os recursos da AWS aos quais os usuários e administradores têm acesso na landing zone.

  • Liste as proteções preventivas que se aplicam a cada unidade organizacional (UO) para que os outros administradores possam planejar e executar suas cargas de trabalho da AWS adequadamente.

Explicar o acesso a recursos

Alguns administradores e outros usuários podem precisar de uma explicação sobre os recursos da AWS aos quais eles têm acesso na landing zone do. Esse acesso pode incluir acesso programático e acesso com base no console. De modo geral, o acesso de leitura e gravação para os recursos da AWS é permitido. Para realizar trabalhos na AWS, seus usuários precisam de algum nível de acesso aos serviços específicos de que precisam para realizar os trabalhos.

Alguns usuários, como seus desenvolvedores da AWS, podem precisar saber sobre os recursos aos quais eles têm acesso, para que possam criar soluções de engenharia. Outros usuários, como os usuários finais dos aplicativos executados em serviços da AWS, não precisam saber sobre os recursos da AWS na landing zone do.

A AWS oferece ferramentas para identificar o escopo do acesso a recursos da AWS de um usuário. Depois de identificar o escopo do acesso de um usuário, você poderá compartilhar essas informações com o usuário, de acordo com as políticas de gerenciamento de informações de sua organização. Para obter mais informações sobre essas ferramentas, consulte os links a seguir.

  • AWS Access Advisor— OAWS Identity and Access ManagementConsultor de acesso da AWS a ferramenta consultor de acesso do () permite determinar as permissões que seus desenvolvedores têm ao analisar o último timestamp quando uma entidade do IAM, como um usuário, uma função ou um grupo, chamou um serviço da AWS. É possível auditar o acesso ao serviço e remover as permissões desnecessárias, além de automatizar o processo, se necessário. Para obter mais informações, consulte nossa publicação do blog de Segurança da AWS.

  • Simulador de políticas do IAM— Com o simulador de políticas do IAM, você pode testar e solucionar problemas no IAM e em políticas baseadas em recursos. Para obter mais informações, consulteTestando políticas do IAM com o IAM Policy Simulator.

  • AWS CloudTrailtroncos— Você pode revisar os logs do AWS CloudTrail para ver as ações executadas por um usuário, uma função ou um serviço da AWS. Para obter mais informações sobre o CloudTrail, consulte o Guia do usuário do AWS CloudTrail.

    As ações realizadas pelos administradores landing zone do CloudTrail são registradas na conta de gerenciamento da zona de destino. As ações realizadas pelos administradores de contas-membro e usuários são registradas na conta de arquivamento de logs compartilhada.

    É possível visualizar uma tabela de resumo de eventos do AWS Control Tower naAtividades.

Explicar as proteções preventivas

Uma proteção preventiva garante que as contas de sua organização mantenham a conformidade com as políticas corporativas. O status de uma proteção preventiva é imposto ou não habilitado. Uma proteção preventiva evita violações da política usando políticas de controle de serviço (SCPs). Em comparação, uma proteção de detecção informa sobre vários eventos ou estados que existem, por meio de regras definidas do AWS Config.

Alguns de seus usuários, como desenvolvedores da AWS, podem precisar saber sobre as proteções preventivas que se aplicam às contas e UOs que eles usam para que possam criar soluções de engenharia. O procedimento a seguir oferece algumas orientações sobre como fornecer essas informações para os usuários certos, de acordo com as políticas de gerenciamento de informações da organização.

nota

Este procedimento pressupõe que você já tenha criado pelo menos uma UO filha na sua landing zone, bem como pelo menos umaAWS Single Sign-Onusuário.

Para mostrar as proteções preventivas para usuários que precisam dessa informação

  1. Faça login no console do AWS Control Tower emhttps://console.aws.amazon.com/controltower/.

  2. Na navegação à esquerda, escolha Organizational units (Unidades organizacionais).

  3. Na tabela, escolha o name (nome) de uma das UOs para a qual o usuário precisa de informações sobre as proteções aplicáveis.

  4. Anote o nome da UO e as proteções que se aplicam a ela.

  5. Repita as duas etapas anteriores para cada UO sobre a qual o usuário precisa de informações.

Para obter informações detalhadas sobre as proteções e suas funções, consulte Proteções na AWS Control Tower.

Orientação do AWS Organizations

  • Não useAWS OrganizationsPara atualizar políticas de controle de serviço (SCPs) anexadas a uma UO registrada na AWS Control Tower. Isso pode fazer com que as proteções entrem em um estado desconhecido e, assim, será necessário reparar a landing zone ou registrar novamente a UO na AWS Control Tower. Em vez disso, você pode criar novos SCPs e anexá-los às UOs, em vez de editar os SCPs criados pelo AWS Control Tower.

  • Mover contas individuais, já registradas, para a AWS Control Tower, de fora de uma UO registrada, causa uma oscilação que deve ser reparada. Consulte Tipos de oscilação de governança.

  • Se você usarAWS OrganizationsPara criar, convidar ou mover contas dentro de uma organização registrada na AWS Control Tower, essas contas não serão registradas pela AWS Control Tower e essas alterações não serão registradas. Se for necessário acessar essas contas por meio de SSO, consulte Acesso à conta-membro.

  • Se você usarAWS OrganizationsPara mover uma UO para uma organização criada pela AWS Control Tower, a UO externa não será registrada pela AWS Control Tower.

  • A AWS Control Tower lida com a filtragem de permissões de forma diferente do que o AWS Se suas contas forem provisionadas com a fábrica de contas da AWS Control Tower, os usuários finais poderão ver os nomes e os pais de todas as OUs no console da AWS Control Tower, mesmo que não tenham permissão para recuperar esses nomes e pais diretamente do AWS Organizations.

  • A AWS Control Tower não oferece suporte a permissões mistas em organizações, como permissão para visualizar os pais de uma UO, mas não para visualizar nomes de UO. Por esse motivo, espera-se que os administradores da AWS Control Tower tenham permissões totais.

Orientação do AWS Single Sign-On

Orientação da Account Factory

  • Quando você usa o Account Factory para provisionar novas contas noAWS Service Catalog, não definaTagOptions, habilite notificações ou crie um plano de produto provisionado. Isso pode resultar em uma falha de provisionamento de uma nova conta.

  • Se você estiver autenticado como um usuário do IAM ao provisionar contas na Account Factory ou ao usar oCadastrar contarecurso, certifique-se de que o usuário do IAM sejaadicionado ao portfólio do AWS Service CatalogPara que ele tenha as permissões corretas. Caso contrário, você pode receber uma mensagem de erro do AWS Service Catalog que é difícil de entender. Causas comuns para esse tipo de erro são fornecidas no guia de Solução de problemas. Especificamente, consulte a seção intitulada Nenhum erro de caminhos de inicialização encontrado.

  • Lembre-se de que é possível provisionar somente uma conta por vez.

Orientação sobre como assinar tópicos do SNS

  • Oaws-controltower-AllConfigNotificationsO tópico SNS recebe todos os eventos publicados pelo AWS Config, incluindo notificações de conformidade e notificações de eventos do AWS CloudWatch. Por exemplo, este tópico informa se ocorreu uma violação de corrimão. Ele também fornece informações sobre outros tipos de eventos. (Saiba mais comAWS Configsobre o que eles publicam quando este tópico está configurado.)

  • Eventos de dadosdoaws-controltower-BaselineCloudTrailtrilha estão configuradas para publicar noaws-controltower-AllConfigNotificationsTópico SNS também.

  • Para receber notificações de conformidade detalhadas, recomendamos que você assine oaws-controltower-AllConfigNotificationsTópico do SNS. Este tópico agrega notificações de conformidade de todas as contas filho.

  • Para receber notificações de drift e outras notificações, bem como notificações de conformidade, mas menos notificações em geral, recomendamos que você assine oaws-controltower-AggregateSecurityNotificationsTópico do SNS.

Para obter mais informações sobre tópicos do SNS e conformidade, consultePrevenção e notificação de deriva.

Orientação para chaves do KMS

O AWS Control Tower funciona com o AWS Key Management Service (KMS). Opcionalmente, se você deseja criptografar e descriptografar os recursos da AWS Control Tower com uma chave de criptografia gerenciada, você pode gerar e configurarAWS KMS keys. Você pode adicionar ou alterar uma chave KMS sempre que atualizar sua landing zone. Como melhor prática, recomendamos o uso de suas próprias chaves do KMS e alterá-las de tempos em tempos.

O AWS Key Management Service (KMS) permite criar chaves KMS multirregiões e chaves assimétricas; no entanto, a AWS Control Tower não oferece suporte a chaves multirregiões ou chaves assimétricas. A AWS Control Tower executa uma pré-verificação de suas chaves existentes. Você pode ver uma mensagem de erro se você selecionar uma chave multirregião ou uma chave assimétrica. Nesse caso, gere outra chave para uso com os recursos da AWS Control Tower.

Para clientes que operam um cluster do AWS CloudHSM: Crie um armazenamento de chaves personalizado associado ao cluster do CloudHSM. Em seguida, você pode criar uma chave KMS, que reside no armazenamento de chaves personalizadas do CloudHSM que você criou. Você pode adicionar essa chave KMS à AWS Control Tower.

Você deve fazer uma atualização específica para a política de permissões de uma chave KMS para que ela funcione com a AWS Control Tower. Para obter detalhes, consulte a seção chamadaPara fazer a atualização da política da chave.