Personalizar sua landing zone da AWS Control Tower

Alguns aspectos da sua landing zone AWS Control Tower são configuráveis no console, como seleção de regiões e guardrails opcionais. Outras alterações podem ser feitas fora do console, com automação.

Por exemplo, você pode criar personalizações mais extensas da sua landing zone com oPersonalizações para o AWS Control Towerrecurso, uma estrutura de personalização no estilo Gitops que funciona comAWS CloudFormationmodelos e eventos do ciclo de vida da AWS Control Tower.

Personalize a partir do console da AWS Control Tower

Para fazer essas personalizações em sua landing zone, siga as etapas dadas pelo console da AWS Control Tower.

Selecione nomes personalizados durante a configuração

• Você pode selecionar seus nomes de UO de nível superior durante a configuração. Você pode renomear suas OUs a qualquer momento usando oAWS Organizationsconsole, mas fazendo alterações em suas OUs emAWS Organizationspode causar reparáveisderiva.

• Você pode selecionar os nomes do seu compartilhadoAuditoriaeArquivar logscontas, mas você não pode alterar os nomes após a configuração. (Esta é uma seleção ocasional.)

Dica

Lembre-se de que renomear uma UO emAWS OrganizationsO não atualiza o produto provisionado correspondente na Account Factory. Para atualizar o produto provisionado automaticamente (e evitar desvios), você deve executar a operação de UO por meio da AWS Control Tower, incluindo criar, excluir ou registrar novamente uma UO.

SelectAWSRegiões da

• Você pode personalizar sua landing zone selecionando específicoAWSRegiões para governança. Siga as etapas no console da AWS Control Tower.

• Você pode selecionar e desselecionarAWSRegiões para governança quando você atualiza sua landing zone.

• É possível definir o guardrail Region Deny comoEnabled (Habilitado)ouNão habilitadoControlar o acesso do usuário à maioriaAWSServiços em não governadosAWSRegiões.

Personalize adicionando guardrails opcionais

• As proteções altamente recomendáveis e eletivas são opcionais, o que significa que é possível personalizar o nível de imposição para a sua landing zone escolhendo quais habilitar.Proteções opcionais opcionaisPor padrão, não são ativados.

• O opcionalGuardrails que aprimoram a proteção da residência de dadospermite que você personalize as Regiões nas quais você armazena e permita o acesso aos seus dados.

Automatize personalizações fora do console da AWS Control Tower

Algumas personalizações não estão disponíveis por meio do console da AWS Control Tower, mas podem ser implementadas de outras maneiras. Por exemplo:

• Você pode personalizar contas durante o provisionamento, em um fluxo de trabalho no estilo Gitops, comAccount Factory para Terraform (AFT).

  AFT é implantado com um módulo Terraform, disponível norepositório AFT.

• Você pode personalizar sua landing zone da AWS Control Tower comPersonalizações para o AWS Control Tower(CFCt), um pacote de funcionalidades que é construído sobreAWS CloudFormationModelos e políticas de controle de serviço (SCPs). É possível implantar os modelos personalizados e as políticas em contas individuais e unidades organizacionais (OUs) dentro da sua organização.

  O código-fonte para CFCt está disponível em umRepositório GitHub.

Benefícios das personalizações para a AWS Control Tower (CFCt)

O pacote de funcionalidades que nos referimos comoPersonalizações para o AWS Control Tower(CFCt) ajuda você a criar personalizações mais extensas para sua landing zone do que você pode criar no console da AWS Control Tower. Ele oferece um processo automatizado no estilo Gitops. Você pode remodelar sua landing zone para atender aos requisitos da sua empresa.

Esseinfra-estrutura como códigoprocesso de personalização se integraAWS CloudFormationModelos comAWSPolíticas de controle de serviço (SCPs) e AWS Control TowerEventos de ciclo de vida, para que suas implantações de recursos permaneçam sincronizadas com sua landing zone. Por exemplo, quando você cria uma nova conta com o Account Factory, os recursos anexados à conta e à UO podem ser implantados automaticamente.

nota

Ao contrário do Account Factory e do AFT, o CFCt não se destina especificamente a criar novas contas, mas para personalizar contas e OUs em sua landing zone implantando recursos especificados por você.

Benefícios

• Expanda um personalizado e seguroAWSmeio Ambiente— Você pode expandir seu ambiente da AWS Control Tower com várias contas mais rapidamente e incorporarAWSpráticas recomendadas em um fluxo de trabalho de personalização repetível.

• Instancie seus requisitos— Você pode personalizar sua landing zone da AWS Control Tower de acordo com os requisitos de negócios, com oAWS CloudFormationModelos e políticas de controle de serviço que expressam suas intenções políticas.

• Automatize ainda mais com eventos do ciclo de vida da AWS Control Tower— Os eventos do ciclo de vida permitem implantar recursos com base na conclusão de uma série anterior de eventos. Você pode confiar em um evento de ciclo de vida para ajudá-lo a implantar recursos em contas e OUs, automaticamente.

• Estender sua arquitetura de rede de— Você pode implantar arquiteturas de rede personalizadas que melhoram e protegem sua conectividade, como um gateway de trânsito.

Exemplos de CFCt adicionais

• Um exemplo de caso de uso de rede comPersonalizações para o AWS Control Tower(CFCt) é dado noAWSPublicação no blog da arquitetura,Implante DNS consistente comAWS Service CatalogPersonalizações do AWS Control Tower.

• Um exemplo específicorelacionado ao CFCt e ao Amazon GuardDutyO está disponível em GitHub noaws-samplesrepositório.

• Exemplos de código adicionais sobre o CFCt estão disponíveis como parte doAWSArquitetura de referência de segurança, noaws-samplesrepositório. Muitos desses exemplos contêm amostramanifest.yamlarquivos em um diretório chamadocustomizations_for_aws_control_tower.

Para obter mais informações sobre oAWSArquitetura de referência de segurança, consulte oAWSPáginas de Orientação prescritiva.