Proteções e conformidade - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Proteções e conformidade

Na AWS Control Tower, a conformidade significa que os administradores de nuvem sabem quando as contas em sua organização estão em conformidade com as políticas estabelecidas, enquanto os construtores podem provisionar novosAWScontas rapidamente em alguns cliques. Os guarda-corpos da AWS Control Tower incorporam as regras de conformidade, para que você possa identificar recursos em conformidade e não em conformidade. Esta página descreve o status de conformidade do guarda-corpo em detalhes.

Quando falamos sobre conformidade na AWS Control Tower, não pretendemos ter o mesmo significado que conformidade com regulamentações governamentais, como privacidade de dados ou padrões de informações de saúde. No entanto, a AWS Control Tower pode ajudar sua organização a cumprir várias regulamentações governamentais.

Para obter mais informações sobre como a AWS Control Tower ajuda você a manter a conformidade com regulamentações governamentais e padrões do setor, consulteValidação de conformidade.

Exemplos de regulamentações governamentais de conformidade:

  • Health InsursurPortability and Act of 1996 (HIPAA — (HIPAA — (HIPAA — —

  • O Regulamento Geral de Proteção de Dados da União Europeia de 2016 (GDPR)

Para controle contínuo, os administradores podem habilitar grades de proteção pré-configuradas — regras claramente definidas para segurança, operações e conformidade. Esses guarda-corpos podem:

  • impedir a implantação de recursos que não estejam em conformidade com as políticas (por meio de proteções preventivas, implementadas com SCPs)

  • monitorar continuamente os recursos implantados em busca de não conformidade (por meio de grades de proteção de detetives, implementadas comAWS ConfigRegras)

Como os administradores podem analisar a conformidade?

A conformidade com as grades de proteção de detetive é determinada de acordo com os dados recuperados doAWS ConfigNa conta de auditoria da AWS Control Tower.

Status do guardrail de Detective

Para visualizar o status de conformidade dos proteções de detecção, navegue até oContas registradasno console da AWS Control Tower. As contas podem mostrar um status de conformidade deDesconhecidose algum guarda-corpo de detetive estiver mal configurado, o que ocorre com mais frequência devido aConta migradaoscilar.

Status preventivo da proteção

O status de conformidade das grades de proteção preventivas em uma UO pode ser visualizado noOU. Se algum guarda-corpo preventivo estiver configurado incorretamente para uma OU, oEstadoshows de campoFalha no registroStatus. A configuração incorreta preventiva do guarda-corpo é causada com mais frequência pelo desvio do SCP, que pode ocorrer se o SCP do guarda-corpo for modificado ou desconectado da UO por meio doAWS Organizationsconsole do .

O status também pode ser exibido na tabela de unidades organizacionais, em qualquer página que tenha uma tabela de unidades organizacionais:

  • o painel da AWS Control Tower

  • a lista UOs

  • a página de detalhes da proteção

OUs aninhadas e conformidade

Quando uma OU mostra um status deincompatível:, isso significa que uma das contas diretamente sob a OU contém recursos não compatíveis. O status de conformidade de uma OU não é influenciado pelo status de conformidade das OUs aninhadas sob a OU ou pelo status de conformidade de quaisquer contas que não estejam diretamente sob a OU.

Outros recursos

Se uma conta tiver recursos não compatíveis, essa conta poderá ser exibida comincompatível:naOUouContano console do AWS Control Tower. Detalhes sobre os recursos específicos que causaram o status de não conformidade são mostrados naDetalhes da conta.

Se uma conta mostrarCompatívelstatus, isso significa que ele não tem recursos que não estão em conformidade; portanto, nenhum detalhe do recurso é mostrado naDetalhes da contapágina, somente uma tabela vazia.

Receba atualizações de status de conformidade

Para receber atualizações sobre conformidade, você pode se inscrever nos tópicos do SNS que enviam notificações quando o status de conformidade do recurso muda. Consulte Notificações de conformidade do Guardrail pelo SNS mais adiante neste capítulo.

Para mais informações sobre como a AWS Control Tower coleta informações sobre recursos, consulte aAWSDocumentação do Agregador de configuração.

O Drift altera o status de conformidade para UO e recursos de conta

Recursos desviados podem ser mostrados com statusDesconhecidonoConformidadecampo de status do console da AWS Control Tower. ODesconhecidostate indica que a AWS Control Tower não pode determinar o status de conformidade do recurso, pois há desvio. Drift não é necessariamente uma violação de conformidade de guardrail de detetive. Para obter mais informações sobre o drift, consulteDetecte e resolva desvios na AWS Control Tower.

Status de conformidade do guardrail da AWS Control Tower

Esta seção lista as possíveis categorias de conformidade e não conformidade na AWS Control Tower, supondo que um guardrail esteja habilitado para uma conta ou UO.

Enforced— Nível máximo de proteção. As operações que quebrariam essa regra de conformidade simplesmente não são permitidas.

  • Relatado para: Guarda-corpos preventivos (SCPs)

  • Aplica-se a: Um guarda-corpo em várias contas

Clear— As regras de conformidade estão devidamente implementadas. Nenhuma violação foi detectada.

  • Relatado para: Proteções de Detective (AWSRegras de Config

  • Aplica-se a: Um guarda-corpo em várias contas

In violation— indica que os recursos estão violando ativamente uma regra de conformidade.

  • Relatado para: Proteções de Detective (AWSRegras de Config

  • Aplica-se a: Um guarda-corpo em várias contas

Compliant— As regras de conformidade estão devidamente implementadas. Nenhuma violação foi detectada.

  • Relatado para: Proteções de Detective (AWSRegras de Config

  • Aplica-se a:

    • Um guarda-corpo para uma única conta

    • Uma conta em vários guarda-corpos

    • Uma OU em várias contas

Noncompliant— As regras de conformidade estão devidamente implementadas. No entanto, recursos não compatíveis foram detectados.

  • Relatado para: Proteções de Detective (AWSRegras de Config

  • Aplica-se a:

    • Um guarda-corpo para uma única conta

    • Uma conta em vários guarda-corpos

    • Uma OU em várias contas

Unknown— Uma regra de conformidade foi violada ou a conformidade não pode ser garantida.

  • Relatado para:

    • Proteções da Detective (AWSRegras de Config

    • Guarda-corpos preventivos (SCPs)

  • Aplica-se a:

    • Um guarda-corpo em várias contas

    • Um guarda-corpo para uma única conta

    • Uma conta em vários guarda-corpos

    • Uma OU em várias contas

    • Basicamente, qualquer coisa com um status de conformidade