Proteções e conformidade - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Proteções e conformidade

Na AWS Control Tower, a conformidade significa que os administradores de nuvem sabem quando as contas em sua organização estão em conformidade com as políticas estabelecidas, enquanto os construtores podem provisionar novas contas da AWS rapidamente em alguns cliques. Os protetores da AWS Control Tower incorporam as regras de conformidade, para que você possa identificar recursos compatíveis e não compatíveis. Esta página descreve detalhadamente o status de conformidade do guardrail.

Quando falamos sobre conformidade na AWS Control Tower, não pretendemos o mesmo significado que a conformidade com regulamentações governamentais, como privacidade de dados ou padrões de informações de saúde. No entanto, a AWS Control Tower ajuda sua organização a cumprir muitas regulamentações governamentais.

Para obter mais informações sobre como a AWS Control Tower ajuda você a manter a conformidade com regulamentações governamentais e padrões do setor, consulteValidação de conformidade.

Exemplos de regras de conformidade (guardrails) na AWS Control Tower:

  • Detectar se o acesso de gravação pública aos buckets do Amazon S3 é permitido

  • Detectar se o tráfego TCP de entrada irrestrito é permitido

Exemplos de regulamentos de conformidade governamentais:

  • HIPAA (Health Insurance Portability and Accountability Act of 1996 dos EUA).

  • O Regulamento Geral de Proteção de Dados da União Europeia de 2016 (RGPD)

Como os administradores podem revisar a conformidade?

Para governança contínua, os administradores podem ativar proteções pré-configuradas — regras claramente definidas para segurança, operações e conformidade. Estes guardrails podem:

  • impedir a implantação de recursos que não estejam em conformidade com as políticas (por meio de proteções preventivas, implementadas com SCPs)

  • monitorar continuamente os recursos implantados para não conformidade (por meio de proteções de detetives, implementados com o AWS Config Rules)

Se uma conta tiver recursos não compatíveis, essa conta pode ser mostrada comIncompatívelO status doOUouContano console da AWS Control Tower. Detalhes sobre os recursos específicos que causaram o status de não conformidade são mostrados naDetalhes da conta. Se uma conta mostrarcompatível, isso significa que ele não tem recursos que não são compatíveis; portanto, nenhum detalhe do recurso é mostrado naDetalhes da conta, apenas uma tabela vazia.

Você pode se inscrever em tópicos do SNS que enviam notificações quando o status de conformidade de recursos for alterado. Consulte Prevenção e notificação de deriva mais adiante neste capítulo.

Para obter mais informações sobre como o AWS Control Tower coleta informações sobre recursos, consulteAWS Config Aggregator.

O desvio está relacionado ao status de conformidade para UO e recursos da conta

A deriva é reportada comoDesconhecidonoConformidadedo console da AWS Control Tower. ODesconhecidoindica que a AWS Control Tower não pode determinar o status de conformidade do recurso, porque o desvio está presente. Drift não é necessariamente uma violação de conformidade de proteção de detetive. Para obter mais informações sobre desvio, consulteDetecte e resolva o desvio na AWS Control Tower.

Status de conformidade da proteção da AWS Control Tower

Esta seção lista as possíveis categorias de conformidade e não-conformidade na AWS Control Tower.

In Violation— indica que os recursos estão violando ativamente uma regra de conformidade.

  • Aplica-se a: Guardrails de Detective (AWS Config Rules)

  • Relatado para: Um guardrail em várias contas

Enforced— Nível máximo de proteção. Operações que violariam essa regra de conformidade simplesmente não são permitidas.

  • Aplica-se a: Guardais preventivos (SCPs)

  • Relatado para: Um guardrail em várias contas

Clear— As regras de conformidade estão devidamente implementadas. Nenhuma violação foi detectada.

  • Aplica-se a: Guardrails de Detective (AWS Config Rules)

  • Relatado para: Um guardrail em várias contas

Compliant— As regras de conformidade estão devidamente implementadas. Nenhuma violação foi detectada.

  • Aplica-se a: Guardrails de Detective (AWS Config Rules)

  • Relatado para:

    • Um guardrail para uma única conta

    • Uma conta em vários guardrails

    • Uma UO em várias contas

Non-Compliant— As regras de conformidade estão devidamente implementadas. No entanto, recursos não compatíveis foram detectados.

  • Aplica-se a: Guardrails de Detective (AWS Config Rules)

  • Relatado para:

    • Um guardrail para uma única conta

    • Uma conta em vários guardrails

    • Uma OU em várias contas

Unknown Status— uma regra de conformidade está quebrada ou a conformidade não pode ser garantida.

  • Aplica-se a:

    • Detective Guardrails (AWS Config Rules)

    • Guardais preventivos (SCPs)

  • Relatado para:

    • Um guardrail em várias contas

    • Um guardrail para uma única conta

    • Uma conta em vários guardrails

    • Uma OU em várias contas

    • Basicamente, qualquer coisa com um status de conformidade