Conceitos básicos de AWS Control Tower - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conceitos básicos de AWS Control Tower

Este procedimento de iniciação é para AWS Control Tower administradores de nuvem central. Use esse procedimento quando você estiver pronto para configurar a zona de destino. Do início ao fim, ele deve levar cerca de uma hora. Este procedimento tem um pré-requisito e duas etapas.

Pré-requisito: A pré-execução automática verifica sua conta mestra

Antes que o AWS Control Tower configure a zona de destino, ele executa automaticamente uma série de verificações de pré-lançamento em sua conta. Estas verificações não requerem qualquer ação da sua parte, o que garante que o seu conta de gerenciamento está pronto para as mudanças que estabelecem o seu zona de destino. Aqui estão as verificações executadas pelo AWS Control Tower antes de configurar uma zona de destino:

  • Os limites de serviço existentes da conta da AWS devem ser suficientes para a AWS Control Tower ser iniciada. Para obter mais informações, consulte Limitações e quotas em AWS Control Tower.

  • A conta da AWS devem estar inscritas nos seguintes serviços da AWS:

    • Amazon Simple Storage Service (Amazon S3)

    • Amazon Elastic Compute Cloud (Amazon EC2)

    • Amazon SNS

    • Amazon Virtual Private Cloud (Amazon VPC)

    • AWS CloudFormation

    • AWS CloudTrail

    • Amazon CloudWatch

    • AWS Config

    • AWS Identity and Access Management (IAM)

    • AWS Lambda

    nota

    Por padrão, todas as contas são inscritas nesses serviços.

  • Se o Logon único da AWS (AWS SSO) já estiver configurado, a região de origem do AWS Control Tower deverá ser a mesma que a região do AWS SSO.

Considerações para a configuração AWS e AWS CloudTrail clientes

  • A conta AWS não pode ter acesso de confiança ativado na organização conta de gerenciamento para configuração AWS ou AWS CloudTrail.

  • Recomendamos desativar o AWS Config para configurar o AWS Control Tower e, depois disso, ative-o novamente. Se fizer isso, você incorrerá em custos adicionais.

  • Se estiver a executar cargas de trabalho efémeras a partir de contas em AWS Control Tower, verá um aumento nos custos associados à Configuração AWS. Contacte o seu representante de conta da AWS para obter informações mais específicas sobre a gestão destes custos.

  • Quando registar uma conta em AWS Control Tower, a sua conta é regida pelos AWS CloudTrail para a AWS Control Tower organização. Se tiver uma implementação existente de um CloudTrail pode ver cobranças duplicadas, a menos que elimine o rasto existente para a conta antes de o registar em AWS Control Tower.

Passo um: Crie os endereços de e-mail da sua conta partilhada

Se você estiver configurando sua zona de destino em uma nova conta da AWS, para obter informações sobre como criar sua conta e seu administrador do IAM, consulte Configuração.

Para configurar a zona de destino, a AWS Control Tower exige dois endereços de e-mail exclusivos ainda não associados a uma conta da AWS. Esses endereços de e-mail devem ser uma caixa de entrada colaborativa cada, uma conta de e-mail compartilhado para os diferentes usuários na empresa que fará um trabalho específico relacionado à AWS Control Tower. Os endereços de e-mail são:

  • Conta de auditoria – esta conta é para sua equipe de usuários que precisam de acesso às informações de auditoria disponibilizadas pelo AWS Control Tower. Você também pode usar essa conta como o ponto de acesso para ferramentas de terceiros que realizarão auditoria programática do ambiente para ajudar a auditar para fins de conformidade.

  • Registar conta de arquivo – Esta conta destina-se à sua equipa de utilizadores que precisam de aceder a todas as informações de registo para todas as suas contas geridas dentro de OUs na sua zona de destino.

Estas contas são criadas na caixa Núcleo quando cria a sua zona de destino. Como melhor prática, recomendamos que quando precisar de realizar alguma ação nestas contas, use um AWS SSO utilizador com as permissões adequadas.

Passo dois: Configure a sua zona de destino

Antes de configurar a sua zona de destino do AWS Control Tower, determine a região de origem mais apropriada. Para obter mais informações, consulte Dicas administrativas para configuração da zona de destino.

AWS Control Tower não tem APIs ou acesso programático. Para configurar a zona de destino, realize o seguinte procedimento:

Para configurar a zona de destino

  1. Abra um navegador da Web e navegue até o console da AWS Control Tower em https://console.aws.amazon.com/controltower.

  2. No console, verifique se você está trabalhando na região de origem desejada para o AWS Control Tower. Escolha Set up your zona de destino (Configurar a zona de destino).

  3. Forneça os endereços de e-mail de arquivamento de logs e contas de auditoria. Observe que os endereços de e-mail não devem ter contas da AWS associadas.

  4. Examine as Service permissions (Permissões de serviço) e, quando estiver pronto, escolha I understand the permissions AWS Control Tower will use to administer AWS resources and enforce rules on my behalf (Entendo as permissões que a AWS Control Tower usará para administrar os recursos da AWS e impor as regras em meu nome).

  5. Escolha Launch your AWS Control Tower (Iniciar a AWS Control Tower).

Isso inicia o processo de configuração da zona de destino, que pode levar cerca de uma hora para ser concluído. Durante a configuração, as suas contas principais são criadas, a sua raiz e o seu núcleo OUs são criados e os recursos AWS são criados, modificados ou eliminados.

Importante

O endereço de e-mail fornecido para a conta de auditoria receberá e-mails de AWS Notification - Subscription Confirmation (Notificação da AWS – confirmação da assinatura) de todas as regiões da AWS compatíveis com o AWS Control Tower Para receber e-mails de conformidade em sua conta de auditoria, é necessário selecionar o link Confirm subscription (Confirmar assinatura) em cada e-mail de cada região da AWS compatível com o AWS Control Tower.

Próximas etapas

Agora que a zona de destino está configurada, ela está pronta para uso.

Para saber mais sobre como você pode usar a AWS Control Tower, consulte os seguintes tópicos: