Conceitos básicos do AWS Control Tower - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conceitos básicos do AWS Control Tower

Esse procedimento de conceitos básicos é para administradores de nuvem central do AWS Control Tower. Use esse procedimento quando estiver pronto para configurar sua landing zone. Do início ao fim, ele deve levar cerca de meia hora. Este procedimento tem um pré-requisito e quatro etapas.

Pré-requisito: Verificações automáticas de pré-lançamento para sua conta de gerenciamento

Antes que a AWS Control Tower configure a landing zone, ela executa automaticamente uma série de verificações de pré-lançamento em sua conta. Não é necessária nenhuma ação de sua parte para essas verificações, que garantem que sua conta de gerenciamento esteja pronta para as alterações que estabelecem sua landing zone. Aqui estão as verificações executadas pelo AWS Control Tower antes de configurar uma landing zone:

  • Os limites de serviço existentes para oConta da AWSdeve ser suficiente para o lançamento da AWS Control Tower. Para obter mais informações, consulte Limitações e cotas na AWS Control Tower.

  • OConta da AWSA devem estar inscritas nos seguintes serviços da AWS:

    • Amazon Simple Storage Service (Amazon S3)

    • Amazon Elastic Compute Cloud (Amazon EC2)

    • Amazon SNS

    • Amazon Virtual Private Cloud (Amazon VPC)

    • AWS CloudFormation

    • AWS CloudTrail

    • Amazônia CloudWatch

    • AWS Config

    • AWS Identity and Access Management (IAM)

    • AWS Lambda

    nota

    Por padrão, todas as contas são inscritas nesses serviços.

Considerações para aAWS IAM Identity Center (successor to AWS Single Sign-On)(IAM Identity Center) clientes

  • SeAWS IAM Identity Center (successor to AWS Single Sign-On)(IAM Identity Center) já estiver configurada, a região de origem da AWS Control Tower deve ser a mesma que aIAM Identity CenterRegião :

  • IAM Identity Centersó pode ser instalado na conta de gerenciamento de uma organização.

  • Três opções se aplicam ao seuIAM Identity Centerdiretório, com base na origem de identidade que você escolher:

    • IAM Identity CenterLoja do usuário: Se a AWS Control Tower estiver configurada comIAM Identity Center, a AWS Control Tower cria grupos naIAM Identity Centerdiretório e fornece acesso a esses grupos, para o usuário selecionado, para contas de membros.

    • Active Directory: SeIAM Identity Centerpara a AWS Control Tower é configurado com o Active Directory, a AWS Control Tower não gerencia oIAM Identity Centerdiretório. Não atribui usuários ou grupos a novosAWScontas.

    • Provedor de identidade externo: SeIAM Identity Centerpara AWS Control Tower é configurado com um provedor de identidade externo (IdP), a AWS Control Tower cria grupos noIAM Identity Centerdiretório e fornece acesso a esses grupos para o usuário selecionado para contas de membro. Você pode especificar um usuário existente do seu IdP externo no Account Factory durante a criação da conta, e a AWS Control Tower concede a esse usuário acesso à conta recém-vendida quando sincroniza usuários com o mesmo nome entreIAM Identity Centere o IdP externo. Você também pode criar grupos no seu IdP externo para corresponder aos nomes dos grupos padrão na AWS Control Tower. Quando você atribui usuários a esses grupos, esses usuários terão acesso às suas contas cadastradas.

    Para obter mais informações sobre como trabalhar com oIAM Identity Centere AWS Control Tower consulteCoisas a saber sobreIAM Identity CenterContas e AWS Control Tower

Considerações para aAWS ConfigeAWS CloudTrailclientes

  • OConta da AWSA não pode ter acesso confiável habilitado na conta de gerenciamento da organização para oAWS Config. Para obter informações sobre como desabilitar acesso confiável, consulteaAWS Organizationsdocumentação sobre como habilitar ou desabilitar acesso confiável.

  • Se você tiver umAWS Configgravador, canal de entrega ou configuração de agregação em qualquer conta existente que você planeja registrar na AWS Control Tower, você deve modificar ou remover essas configurações antes de começar a registrar as contas, depois que sua landing zone for configurada. Essa pré-verificação não se aplica à conta de gerenciamento da AWS Control Tower durante o lançamento da landing zone. Para obter mais informações, consulte Cadastrar contas que tenhamAWS Configrecursos.

  • Se você estiver executando cargas de trabalho efêmeras de contas na AWS Control Tower, poderá ver um aumento nos custos associados aoAWSConfig. Entre em contato comAWSrepresentante de conta para obter informações mais específicas sobre como gerenciar esses custos.

  • Quando você cadastra uma conta na AWS Control Tower, sua conta é regida peloAWS CloudTrailtrilha para a organização da AWS Control Tower. Se você já tiver uma implantação de um CloudTrail trilha na conta, você pode ver cobranças duplicadas, a menos que exclua a trilha existente para a conta antes de registrá-la na AWS Control Tower. Para obter informações sobre trilhas no nível da organização e a AWS Control Tower, consultePreços.

nota

Ao executar, os endpoints do AWS Security Token Service (AWS Security Token Service) devem estar ativados na conta de gerenciamento, para todas as regiões compatíveis com o AWS Control Tower. Caso contrário, a execução pode falhar no meio do processo de configuração.

Requisitos para os endereços de e-mail da sua conta compartilhada

Se você estiver configurando sua landing zone em uma novaConta da AWS, para obter informações sobre como criar a conta e o administrador do IAM, consulteConfiguração.

  • Para configurar sua landing zone comnovocontas compartilhadas, a AWS Control Tower exige dois endereços de e-mail exclusivos ainda não associados a umaConta da AWS. Cada um desses endereços de e-mail servirá como uma caixa de entrada colaborativa — uma conta de e-mail compartilhado — destinada aos vários usuários da empresa que farão trabalhos específicos relacionados à AWS Control Tower.

  • Se você estiver configurando a AWS Control Tower pela primeira vez e se estiver trazendo contas de segurança e arquivamento de logs existentes para a AWS Control Tower, poderá inserir os endereços de e-mail atuais dosAWScontas.

Os endereços de e-mail são necessários para:

  • Conta de auditoria— Esta conta é para a equipe de usuários que precisa de acesso às informações de auditoria disponibilizadas pelo AWS Control Tower. Você também pode usar essa conta como o ponto de acesso para ferramentas de terceiros que realizarão auditoria programática do ambiente para ajudar a auditar para fins de conformidade.

  • Conta de arquivamento de logs— Esta conta é para a equipe de usuários que precisa de acesso a todas as suas contas inscritas dentro das UOs registradas na sua landing zone.

Essas contas são configuradas noSegurançaOU quando você cria sua landing zone. Como prática recomendada, recomendamos que, ao executar ações nessas contas, use umaIAM Identity Centerusuário com as permissões de escopo apropriado.

nota

Se você especificarAWScontas como seuauditoriaearquivamento de logscontas, as contas existentes devem passar por algumas verificações de pré-lançamento para garantir que nenhum recurso esteja em conflito com os requisitos da AWS Control Tower. Se essas verificações não forem bem-sucedidas, a configuração da sua landing zone pode não ser bem-sucedida. Em particular, as contas não devem terAWS Configrecursos da AWS. Para obter mais informações, consulte Considerações para trazer contas de segurança ou registro existentes.

Por uma questão de clareza, issoGuia do usuário dosempre se refere às contas compartilhadas pelos nomes padrão:arquivamento de logseauditoria. Ao ler este documento, lembre-se de substituir os nomes personalizados que você dá a essas contas inicialmente, se você optar por personalizá-las. Você pode visualizar suas contas com seus nomes personalizados noDetalhes da conta.

nota

Estamos alterando nossa terminologia em relação aos nomes padrão de algumas unidades organizacionais (OUs) da AWS Control Tower para alinhar com a estratégia de várias contas da AWS. Você pode notar algumas inconsistências enquanto estamos fazendo uma transição para melhorar a clareza desses nomes. A UO de segurança era anteriormente chamada de UO principal. A OU Sandbox era anteriormente chamada de UO personalizada.

Expectativas para a configuração da zona

O processo de configuração da sua landing zone AWS Control Tower tem várias etapas. Certos aspectos da zona de aterrissagem do AWS Control Tower são configuráveis. Outras opções são “portas unidirecionais” que não podem ser alteradas após a configuração.

Principais itens a serem configurados durante a configuração

  • Você pode selecionar seus nomes de UO de nível superior durante a configuração e também pode alterar os nomes da UO depois de configurar sua landing zone. Por padrão, as OUs de nível superior são nomeadasSegurançaeSandbox. Para obter mais informações, consulte Diretrizes para configurar um ambiente bem arquitetado.

  • Durante a configuração, você pode selecionar nomes personalizados para as contas compartilhadas que a AWS Control Tower cria, chamadasarquivamento de logseauditoriapor padrão, mas você não pode alterar esses nomes após a configuração. (Esta é uma seleção ocasional.)

  • Durante a configuração, se desejar, você poderá especificar asAWScontas para a AWS Control Tower usarem como contas de auditoria e arquivamento de logs. Se você planeja especificarAWScontas, e se essas contas tiveremAWS Configrecursos, você deve excluir os existentesAWS Configrecursos antes que você possa registrar as contas na AWS Control Tower. (Esta é uma seleção ocasional.)

Opções de configuração que não podem ser desfeitos

  • Não é possível alterar sua região de origem depois de configurar sua landing zone.

  • Se você estiver provisionando contas de Account Factory com VPCs, os CIDRs de VPC não poderão ser alterados após serem criados.

Configure e inicie sua landing zone

Antes de executar a landing zone do AWS Control Tower, determine a região de origem mais apropriada. Para obter mais informações, consulte Dicas administrativas para configuração da landing zone.

Importante

Alterar sua região de origem após a implantação da landing zone da AWS Control Tower exige o descomissionamento, bem como a assistência deAWSSupport ao. Essa prática não é recomendada.

A AWS Control Tower não tem APIs nem acesso programático. Para configurar e iniciar sua landing zone, execute a seguinte série de etapas.

Preparar: Acesse o console da AWS Control Tower

  1. Abra um navegador da Web e navegue até o console da AWS Control Tower emhttps://console.aws.amazon.com/controltower.

  2. No console, verifique se você está trabalhando na região de origem desejada para a AWS Control Tower. Em seguida, escolhaConfigure sua landing zone.

Etapa 1. Analise os preços e selecione suas regiões da AWS

Certifique-se de ter designado corretamente a região da AWS que você selecionou para sua região de origem. Depois de implantar a AWS Control Tower, não é possível alterar a região de origem.

Nesta seção do processo de configuração, você pode adicionar outras regiões da AWS necessárias. Você pode adicionar mais regiões posteriormente, se necessário, e pode remover regiões da governança.

Para selecionar regiões adicionais da AWS para governar

  1. O painel mostra as seleções de região atuais. Abra o menu suspenso para ver uma lista de regiões adicionais disponíveis para governança.

  2. Marque a caixa de seleção ao lado de cada região para incluir a governança da AWS Control Tower. Sua seleção de região de origem não é editável.

Etapa 2. Configure suas unidades organizacionais (UOs)

Se você aceitar os nomes padrão dessas OUs, não será necessário realizar nenhuma ação para que a configuração continue. Para alterar os nomes das OUs, insira os novos nomes diretamente no campo do formulário.

  • UO— A AWS Control Tower conta com umUOque é inicialmente chamado deUO. Você pode alterar o nome dessa OU durante a configuração inicial e depois, na página de detalhes da UO. EsseUOcontém suas duas contas compartilhadas, que por padrão são chamadas dearquivamento de logsconta e oauditoriaconta.

  • UO adicional— A AWS Control Tower pode configurar uma ou maisUOs adicionaispara você. Recomendamos que você provisione pelo menos umUO adicionalna sua landing zone, além doUO. Se essa OU adicional for destinada a projetos de desenvolvimento, recomendamos que você a nomeie comoSandbox, conforme indicado naDiretrizes para configurar um ambiente bem arquitetado. Se você já tiver uma OU existente no AWS Organizations, poderá ver a opção de ignorar a configuração de uma OU adicional na AWS Control Tower.

Etapa 3. Configure suas contas compartilhadas e criptografia

Nesta seção do processo de configuração, o painel mostra as seleções padrão para os nomes das suas contas compartilhadas da AWS Control Tower. Essas contas são uma parte essencial da sua landing zone. Não mova ou exclua essas contas compartilhadas. Você pode escolher nomes personalizados para oauditoriaearquivamento de logscontas durante a configuração. Como alternativa, você tem uma opção única para especificarAWScontas como suas contas compartilhadas.

Você deve fornecer endereços de e-mail exclusivos para suas contas de arquivamento e auditoria de registros e pode verificar o endereço de e-mail fornecido anteriormente para sua conta de gerenciamento. Selecione oEditebotão para alterar os valores padrão editáveis.

Sobre as contas compartilhadas

  • A conta de gerenciamento— A conta de gerenciamento da AWS Control Tower faz parte do nível raiz. A conta de gerenciamento permite o faturamento da AWS Control Tower. A conta também tem permissões de administrador para sua landing zone. Você não pode criar contas separadas para faturamento e para permissões de administrador na AWS Control Tower.

    O endereço de e-mail mostrado para a conta de gerenciamento não é editável durante essa fase de configuração. Ele é mostrado como uma confirmação, para que você possa verificar se está editando a conta de gerenciamento correta, caso tenha várias contas.

  • As duas contas compartilhadas— Você pode escolher nomes personalizados para essas duas contas e deve fornecer um endereço de e-mail exclusivo para cada conta, seja ela nova ou existente. Se você optar por fazer com que a AWS Control Tower crie novas contas compartilhadas para você, os endereços de e-mail ainda não devem ter associadoAWScontas.

Para configurar as contas compartilhadas, preencha as informações solicitadas.

  1. No console do, insira um nome para a conta inicialmente chamada dearquivamento de logsconta. Muitos clientes decidem manter o nome padrão dessa conta.

  2. Forneça um endereço de e-mail exclusivo para essa conta.

  3. Atribua um nome à conta inicialmente chamada deauditoriaconta. Muitos clientes optam por chamá-lo deSegurançaconta.

  4. Forneça um endereço de e-mail exclusivo para essa conta.

Configurar opcionalmenteAWS KMS keys

Se você deseja criptografar e descriptografar os recursos com aAWSChave de criptografia KMS, marque a caixa de seleção. Se você tiver chaves existentes, poderá selecioná-las nos identificadores exibidos em um menu suspenso. Você pode gerar uma nova chave escolhendoCriar uma chave. Você pode adicionar ou alterar uma chave KMS sempre que atualizar sua landing zone.

Quando você selecionaConfigurar landing zone, a AWS Control Tower realiza uma pré-verificação para validar sua chave KMS. A chave deve atender a estes requisitos:

  • Enabled (Habilitado)

  • Simétrica

  • Não é uma chave de várias regiões

  • Tem as permissões corretas adicionadas à política

  • A chave está na conta de gerenciamento

Você poderá ver um banner de erro se a chave não atender a esses requisitos. Nesse caso, escolha outra chave ou gere uma chave. Certifique-se de editar a política de permissões da chave, conforme descrito na próxima seção.

Para fazer a atualização da política da chave

Para usar uma chave KMS com a AWS Control Tower, você deve fazer uma atualização de política específica para a chave. No mínimo, a chave do KMS deve ter permissões que permitam a AWS CloudTrail e o AWS Config para usar a chave KMS escolhida.

Faça a atualização de política necessária

  1. Navegue até o console do AWS KMS emhttps://console.aws.amazon.com/kms

  2. SelectChaves gerenciadas pelo clienteà esquerda

  3. Na tabela, selecione a chave que você deseja editar ou selecioneCriar uma chavedo canto superior direito

  4. Sob a seção chamadaPolítica de chaves, verifique se você consegue ver a política e editá-la. Pode ser necessário selecionarAlternar para visualização de políticaà direita.

É possível copiar e colar o seguinte exemplo de instrução de política. Como alternativa, para uma chave existente, você pode garantir que sua chave KMS tenha essas permissões mínimas adicionando-as à sua própria política existente. Você pode adicionar essas linhas como um grupo em uma única instrução JSON ou, se preferir, pode incorporá-las linha por linha nas outras declarações da sua política.

{ "Sid": "Allow CloudTrail and AWS Config to encrypt/decrypt logs", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com", "config.amazonaws.com" ] }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*" }

O AWS Key Management Service (KMS) permite criar chaves KMS multirregionais e chaves assimétricas. No entanto, a AWS Control Tower não oferece suporte a chaves multirregionais ou chaves assimétricas. A AWS Control Tower realiza uma pré-verificação das chaves existentes. Você poderá ver uma mensagem de erro se selecionar uma chave multirregional ou uma chave assimétrica. Nesse caso, gere outra chave para uso com os recursos da AWS Control Tower.

Para obter mais informações sobre o AWS KMS, consulteo Guia do desenvolvedor do AWS KMS.

Observe que os dados do cliente na AWS Control Tower são criptografados em repouso, por padrão, usando SSE-S3.

Etapa 4. Revise e configure a landing zone

A próxima seção na configuração mostra as permissões que a AWS Control Tower exige para sua landing zone. Escolha uma caixa de seleção para expandir cada tópico. Você será solicitado a concordar com essas permissões, que podem afetar várias contas, e concordar com oTermos de Serviço.

Para finalizar

  1. No console, revise oPermissões de serviçoe, quando estiver pronto, escolhaEntendo as permissões que a AWS Control Tower usará para administrar os recursos da AWS e impor as regras em meu nome..

  2. Para finalizar suas seleções e inicializar o lançamento, escolhaConfigurar landing zone.

Esta série de etapas inicia o processo de configuração da landing zone, que pode levar cerca de trinta minutos para ser concluído. Durante a configuração, a AWS Control Tower cria seu nível raiz, a UO de segurança e as contas compartilhadas. Outros recursos da AWS são criados, modificados ou excluídos.

Confirmar as assinaturas do SNS

O endereço de e-mail fornecido para a conta de auditoria receberáNotificação da AWS — Confirmação de assinaturae-mails de todas as regiões da AWS compatíveis com o AWS Control Tower. Para receber e-mails de conformidade em sua conta de auditoria, é necessário selecionar aConfirmar a assinaturalink em cada e-mail de cada região da AWS compatível com o AWS Control Tower.

Next steps (Próximas etapas)

Agora que sua landing zone está configurada, ela está pronta para uso.

Para saber mais sobre como você pode usar a AWS Control Tower, consulte os seguintes tópicos: