Proteções na AWS Control Tower - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Proteções na AWS Control Tower

Uma proteção é uma regra de alto nível que fornece governança contínua para todo o ambiente da AWS. Ele é expressado em linguagem simples. Por meio de proteções, a AWS Control Tower implementapreventivaouDetetiveControles que ajudam a controlar seus recursos e monitorar a conformidade entre grupos de contas da AWS.

Uma proteção se aplica a uma unidade organizacional (UO) inteira, e todas as contas da AWS dentro da UO são afetadas pela proteção. Portanto, quando os usuários executam o trabalho em qualquer conta da AWS na sua landing zone, eles estão sempre sujeitos às proteções que governam a UO da sua conta.

O propósito das proteções

As proteções permitem que você expresse suas intenções políticas. Por exemplo, se você habilitar o guarda de detetiveDetectar se o acesso de leitura pública aos buckets do Amazon S3 é permitidoEm uma UO, é possível negar ao usuário o acesso de leitura a todos os buckets do S3 para todas as contas em uma UO.

Comportamento e orientação da proteção

As proteções são categorizadas de acordo com o comportamento e a orientação.

O comportamento de cada proteção é de prevenção ou detecção. A orientação da proteção refere-se à prática recomendada de como aplicar cada proteção às suas UOs. A orientação de uma proteção não depende de seu comportamento ser de prevenção ou de detecção.

Comportamento da proteção

  • Prevenção— uma proteção preventiva garante que suas contas mantenham a conformidade, pois não permite ações que levem a violações de políticas. O status de uma proteção preventiva é enforced (aplicado) ou not enabled (não ativado). As proteções preventivas são compatíveis em todas as regiões da AWS.

  • Detective— um dispositivo de proteção detecta a não conformidade de recursos em suas contas, como violações de políticas, e fornece alertas por meio do painel. O status de uma proteção de detecção é clear (limpo), in violation (em violação), ou not enabled (não ativado). Detective proteções de detecção se aplicam somente às regiões da AWS compatíveis com a AWS Control Tower.

Implementação do comportamento da proteção

  • As proteções preventivas são implementadas usando políticas de controle de serviço (SCPs), que fazem parte do AWS Organizations.

  • As proteções de detecção são implementadas usando regras do AWS Config e funções do AWS Lambda.

  • Determinadas proteções obrigatórias são implementadas por meio de uma única SCP que executa várias ações, em vez de SCPs únicas. Portanto, a mesma SCP é indicada na referência da proteção, em cada proteção obrigatória a que essa SCP se aplica.

Orientação da proteção

AWS Control Tower fornece três categorias de orientações:mandatory,fortemente recomendado, eeletivaProteções.

  • As proteções obrigatórias são sempre aplicadas.

  • As proteções altamente recomendadas são criadas para aplicar algumas práticas recomendadas comuns para ambientes bem arquitetados e com várias contas.

  • As proteções eletivas permitem rastrear ou bloquear ações que geralmente são restritas em um ambiente empresarial da AWS.

Padrão: Quando você cria uma nova landing zone, todas as proteções obrigatórias são ativadas por padrão. As proteções eletivas e altamente recomendadas não são habilitadas por padrão.

Considerações sobre proteções e UOs

Ao trabalhar com proteções e UOs, considere as seguintes propriedades:

Guardais, zonas de aterragem e UOs

  • Depois de criar sua landing zone, todos os recursos na zona de aterrissagem, por exemplo, buckets do Amazon S3, estão sujeitos a barreiras de proteção.

  • As UOs criadas pela AWS Control Tower têm proteções obrigatórias aplicadas a elas automaticamente, e proteções opcionais aplicadas a critério dos administradores.

  • OUs criadas fora de uma landing zone da AWS Control Tower (ou seja,UOs não registradossão exibidos no console da AWS Control Tower, mas os guardrails da AWS Control Tower não se aplicam a eles, a menos que se tornem UOs registradas.

  • Ao habilitar proteções em uma UO (UO) que está registrada na AWS Control Tower, elas se aplicam a todas as contas de membro sob a UO, inscritas e canceladas. Os guardas de Detective aplicam-se apenas a contas inscritas.

Exceção às barras de proteção para a conta de gerenciamento

O usuário raiz e todos os administradores do IAM na conta de gerenciamento podem executar um trabalho que, de outra forma, as proteções negariam. Essa exceção é intencional. Ela evita que a conta de gerenciamento entre em um estado inutilizável. Todas as ações realizadas dentro da conta de gerenciamento continuam sendo rastreadas nos logs contidos na conta de arquivamento de logs, para fins de responsabilidade e auditoria.

Considerações para proteções e contas

Ao trabalhar com proteções e contas, considere as seguintes propriedades:

Proteções e contas

  • As contas criadas por meio da Account Factory na AWS Control Tower herdam as proteções da UO pai e os recursos associados são criados.

  • As contas criadas fora de uma landing zone da AWS Control Tower não herdam os guardas da AWS Control Tower. Estes são chamadosnão inscritocontas.

  • As contas criadas fora da AWS Control Tower não herdarão guardas na AWS Control Tower até que você as inscreva. No entanto, essas contas não inscritassãoexibido na AWS Control Tower.

    As contas herdam guardrails de uma UO após a inscrição nessa UO.

  • Uma UO pode conter inscrito ou não inscritoContas-membro do.

  • Os Guardrails não se aplicam a uma conta não cadastrada, a menos que ela se torne uma conta de membro de uma UO da AWS Control Tower registrada. Nesse caso, proteções preventivas para a UO serão aplicadas à conta não inscrita. Guardrails de Detective não se aplicarão.

  • Quando você habilita proteções com orientação altamente recomendável, a AWS Control Tower cria e gerencia determinados recursos adicionais da AWS em suas contas. Não modifique nem exclua recursos criados pela AWS Control Tower. Isso pode resultar na entrada as proteções em um estado desconhecido. Para obter mais informações, consulte Referência da proteção.

Proteções opcionais

As proteções altamente recomendáveis e eletivas são opcionais, o que significa que é possível personalizar o nível de imposição para a sua landing zone escolhendo quais habilitar. As proteções opcionais não são habilitadas por padrão. Para obter mais informações sobre proteções opcionais, consulte as seguintes referências:

Como exibir detalhes das proteções

Na página de detalhes da proteção do console, você pode encontrar os seguintes detalhes de cada proteção:

  • Name (Nome)— O nome da proteção.

  • Descrição— Uma descrição da proteção.

  • Orientação do— A orientação é obrigatória, altamente recomendável ou eletiva.

  • Comportamento— O comportamento de uma proteção é definido como de prevenção ou de detecção.

  • Status da conformidade— o status de conformidade de uma proteção pode ser claro, em conformidade, imposto, desconhecido ou em violação. Para obter mais informações, consulte Status de conformidade da proteção da AWS Control Tower.

Na página de detalhes da proteção, você também pode ver artefatos de proteção. A proteção é implementada por um ou mais artefatos. Esses artefatos podem incluir uma linha de baseAWS CloudFormation, uma política de controle de serviço (SCP) para evitar alterações na configuração no nível da conta ou atividade que possa criar oscilações de configuração eAWS Config Rulespara detectar violações de política no nível da conta.

Habilitar proteções

A maioria das proteções é habilitada automaticamente de acordo com a configuração de uma UO, e algumas proteções podem ser habilitadas manualmente nas UOs. O procedimento a seguir descreve as etapas para habilitar proteções em uma UO.

Importante

Quando você habilita proteções com orientação altamente recomendável, a AWS Control Tower cria e gerencia recursos da AWS em suas contas. Não modifique ou exclua recursos criados pela AWS Control Tower. Isso pode resultar na entrada as proteções em um estado desconhecido.

Para habilitar proteções em uma UO

  1. Usando um navegador da web, navegue até o console da AWS Control Tower emhttps://console.aws.amazon.com/controltower.

  2. No painel de navegação à esquerda, escolha Guardrails (Proteções).

  3. Escolha uma proteção que você queira habilitar. Por exemplo,Proteções: Detectar se a criptografia está habilitada para volumes do Amazon EBS anexados a instâncias do Amazon EC2. Essa escolha abre a página de detalhes da proteção.

  4. Em Organizational units enabled (Unidades organizacionais habilitadas), escolha Enable guardrail on OU (Habilitar proteção na UO).

  5. Uma nova página é exibida listando os nomes das UOs. Identifique a UO na qual você deseja ativar essa proteção.

  6. Escolha Enable guardrail on OU (Habilitar proteção na UO).

  7. A proteção já está habilitada. Pode levar vários minutos para que a alteração seja concluída. Quando fizer isso, você verá que essa proteção estará habilitada na UO selecionada. É possível ativar apenas uma proteção de cada vez.