Proteções na AWS Control Tower - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Proteções na AWS Control Tower

Uma proteção é uma regra de alto nível que fornece governança contínua para toda aAWSambiente. Ele é expressado em linguagem simples. Por meio de grades de proteção, a AWS Control Tower implementapreventivaoudetetivecontroles que ajudam a controlar seus recursos e monitorar a conformidade entre grupos deAWScontas.

Uma proteção se aplica a uma unidade organizacional (UO) inteira, e a todas asAWSconta dentro da OU é afetada pelo guarda-corpo. Portanto, quando os usuários realizam trabalhos em qualquerAWSna sua landing zone, eles estão sempre sujeitos às proteções que governam a UO da sua conta.

O propósito das proteções

As proteções permitem que você expresse suas intenções políticas. Por exemplo, se você ativar o guarda-corpo de detetiveDetectar se o acesso público de leitura aos buckets do Amazon S3 é permitidoem uma UO, é possível negar o acesso de leitura a todos os buckets do S3 para todas as contas em uma UO.

Comportamento e orientação da proteção

As proteções são categorizadas de acordo com o comportamento e a orientação.

O comportamento de cada proteção é de prevenção ou detecção. A orientação da proteção refere-se à prática recomendada de como aplicar cada proteção às suas UOs. A orientação de uma proteção não depende de seu comportamento ser de prevenção ou de detecção.

Comportamento da proteção

  • preventivo— um dispositivo de proteção preventivo garante que as contas mantenham a conformidade, pois não permite ações que levem a violações de políticas. O status de uma proteção preventiva é enforced (aplicado) ou not enabled (não ativado). As proteções preventivas são compatíveis em todas as regiões da AWS.

  • Detective— um dispositivo de proteção detecta a não conformidade de recursos em suas contas, como violações de políticas, e fornece alertas por meio do painel. O status de uma proteção de detecção é clear (limpo), in violation (em violação), ou not enabled (não ativado). Detective proteções de detecção se aplicam somente às regiões da AWS compatíveis com o AWS Control Tower.

Implementação do comportamento da proteção

  • As proteções preventivas são implementadas usando políticas de controle de serviço (SCPs), que fazem parte do AWS Organizations.

  • As proteções de detecção são implementadas usandoAWS Configregras.

  • Determinadas proteções obrigatórias são implementadas por meio de uma única SCP que executa várias ações, em vez de SCPs únicas. Portanto, a mesma SCP é indicada na referência da proteção, em cada proteção obrigatória a que essa SCP se aplica.

Orientação da proteção

O AWS Control Tower fornece três categorias de orientações:obrigatório,fortemente recomendado, eeletivoproteções.

  • As proteções obrigatórias são sempre aplicadas.

  • As proteções altamente recomendadas são criadas para aplicar algumas práticas recomendadas comuns para ambientes bem arquitetados e com várias contas.

  • As proteções eletivas permitem rastrear ou bloquear ações que geralmente são restritas em umaAWSambiente empresarial.

Padrões: Quando você cria uma nova landing zone, a AWS Control Tower habilita todos os guardrails obrigatórios por padrão e os aplica às suas OUs de nível superior. Quando você estende a governança a uma OU, a AWS Control Tower aplica barreiras de proteção obrigatórias à OU por padrão. As proteções eletivas e altamente recomendadas não são habilitadas por padrão.

Considerações sobre proteções e UOs

Ao trabalhar com proteções e UOs, considere as seguintes propriedades:

Guarda-corpos, zonas de pouso e OUs

  • Depois de criar sua landing zone, todos os recursos em sua landing zone, por exemplo, buckets do Amazon S3, estão sujeitos a grades de proteção.

  • As UOs criadas por meio da AWS Control Tower têm proteções obrigatórias aplicadas a elas automaticamente, e proteções opcionais aplicadas a critério dos administradores.

  • OUs criadas fora de uma landing zone AWS Control Tower (ou seja,UOs não registrados) são exibidos no console da AWS Control Tower, mas os guarda-corpos da AWS Control Tower não se aplicam a eles, a menos que se tornem OUs registradas.

  • Ao habilitar proteções em uma unidade organizacional (UO) que está registrada na AWS Control Tower, as proteções preventivas se aplicam a todas as contas de membro sob a UO, registradas e não registradas. Os guarda-corpos de Detective se aplicam apenas às contas cadastradas.

Para obter mais informações sobre como os guardrails são aplicados a OUs aninhadas, na AWS Control Tower, consulteOUs e grades de proteção aninhadas.

Exceção às grades de proteção para a conta de gerenciamento

O usuário raiz e nenhum administrador do IAM na conta de gerenciamento pode realizar um trabalho que, de outra forma, as proteções negariam. Essa exceção é intencional. Ela evita que a conta de gerenciamento entre em um estado inutilizável. Todas as ações realizadas dentro da conta de gerenciamento continuam sendo rastreadas nos logs contidos na conta de arquivamento de logs, para fins de responsabilidade e auditoria.

Considerações sobre grades de proteção e contas

Ao trabalhar com proteções e contas, considere as seguintes propriedades:

Proteções e contas

  • As contas criadas por meio da Account Factory na AWS Control Tower herdam as proteções da UO pai e os recursos associados são criados.

  • As contas criadas fora de uma landing zone AWS Control Tower não herdam os guarda-corpos da AWS Control Tower. Estes são chamadosnão inscritocontas.

  • Contas criadas fora da AWS Control Tower não herdarão guardrails na AWS Control Tower até que você as inscreva. No entanto, essas contas não registradasestáexibido na AWS Control Tower.

    As contas herdam grades de proteção de uma OU no momento da inscrição nessa OU.

  • Uma UO pode conter inscrição ou não inscriçãoContas-membro do.

  • Os Guardrails não se aplicam a uma conta não registrada, a menos que ela se torne uma conta membro de uma OU registrada da AWS Control Tower. Nesse caso, proteções preventivas para a OU serão aplicadas à conta não registrada. As grades de proteção de detetive não se aplicam.

  • Quando você habilita grades de proteção opcionais, a AWS Control Tower cria e gerencia determinadosAWSrecursos em suas contas. Não modifique nem exclua recursos criados pelo AWS Control Tower. Isso pode resultar na entrada as proteções em um estado desconhecido. Para obter mais informações, consulte Referência da proteção.