Configuração - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configuração

Antes de usar o AWS Control Tower pela primeira vez, execute as seguintes tarefas:

Essas tarefas criam uma conta da AWS e um usuário do IAM com privilégios de administrador para a conta. Para obter informações sobre tarefas de configuração adicionais especificamente para a AWS Control Tower, consulte Conceitos básicos do AWS Control Tower.

Cadastre-se no AWS

Quando você se cadastra na Amazon Web Services (AWS), a conta da AWS é cadastrada automaticamente em todos os serviços da AWS, incluindo o AWS Control Tower. Caso você já tenha uma conta da AWS, passe para a próxima tarefa. Se você ainda não possui uma conta da AWS, use o procedimento a seguir para criar uma.

Para criar uma conta da AWS

  1. Abra https://portal.aws.amazon.com/billing/signup.

  2. Siga as instruções online.

    Parte do procedimento de cadastro envolve uma chamada telefônica e a digitação de um código de verificação usando o teclado do telefone.

Observe o número da conta da AWS, porque você precisará dele na próxima tarefa.

Criar um usuário do IAM

Os serviços da AWS, como o AWS Control Tower, exigem que a conta de usuário forneça credenciais, de tal forma eles possam determinar se você tem permissão para acessar os recursos. A AWS recomenda que você não faça solicitações para outros serviços com as credenciais de usuário raiz da sua conta da AWS. Em vez disso, crie um usuário do AWS Identity and Access Management (IAM) e conceda acesso total a ele. Chamamos esses usuários que têm acesso total de administradores.

Você pode usar as credenciais de administrador, em vez das credenciais de usuário raiz da conta da AWS, para interagir com a AWS e realizar tarefas, como criar usuários e conceder as permissões adequadas a eles. Para obter mais informações, consulteCredenciais de conta raiz em relação às credenciais de usuárionoReferência geral da AWSePráticas recomendadas do IAMnoIAM User Guide.

Se tiver se cadastrado na AWS, mas não tiver criado um usuário do IAM para si mesmo, você poderá criar um usando o console de gerenciamento do IAM.

Para criar um usuário administrador para você mesmo e adicionar o usuário a um grupo de administradores (console)

  1. Faça login no console do IAM como o proprietário da conta escolhendo Root user (Usuário root) e inserindo o endereço de e-mail da sua Conta da AWS. Na próxima página, insira sua senha.

    nota

    Recomendamos seguir as práticas recomendadas para utilizar o usuário do IAM Administrator a seguir e armazenar as credenciais do usuário raiz com segurança. Cadastre-se como o usuário raiz apenas para executar algumas tarefas de gerenciamento de serviços e contas.

  2. No painel de navegação, escolha Usuários e depois Adicionar usuário.

  3. Em User name (Nome do usuário), digite Administrator.

  4. Marque a caixa de seleção ao lado de AWS Management Console access (Acesso ao console). Então, selecione Custom password (Senha personalizada), e insira sua nova senha na caixa de texto.

  5. (Opcional) Por padrão, a AWS exige que o novo usuário crie uma senha ao fazer login pela primeira vez. Você pode desmarcar a caixa de seleção próxima de User must create a new password at next sign-in (O usuário deve criar uma senha no próximo login) para permitir que o novo usuário redefina a senha depois de fazer login.

  6. Selecione Next (Próximo): Permissions

  7. Em Set permissions (Conceder permissões), escolha Add user to group (Adicionar usuário ao grupo).

  8. Escolha Create group (Criar grupo).

  9. Na caixa de diálogo Create group (Criar grupo), em Group name (Nome do grupo), digite Administrators.

  10. Selecione Filter policies (Filtrar políticas) e, em seguida, selecione AWS managed - job function (Função de trabalho gerenciada da AWS) para filtrar o conteúdo da tabela.

  11. Na lista de políticas, marque a caixa de seleção AdministratorAccess. A seguir escolha Criar grupo.

    nota

    Você deve ativar o acesso de usuário do IAM e da função para Billing (Faturamento) antes de usar as permissões de AdministratorAccess para acessar o comsole do AWS Billing and Cost Management. Para fazer isso, siga as instruções na etapa 1 do tutorial sobre como delegar acesso ao console de faturamento.

  12. Suporte a lista de grupos, selecione a caixa de seleção para seu novo grupo. Escolha Refresh (Atualizar) caso necessário, para ver o grupo na lista.

  13. Selecione Next (Próximo): Tags.

  14. (Opcional) Adicione metadados ao usuário anexando tags como pares de chave-valor. Para obter mais informações sobre como usar tags no IAM, consulte Marcar entidades do IAM no Guia do usuário do IAM.

  15. Selecione Next (Próximo): Review (Revisar)Para ver uma lista de associações de grupos a serem adicionadas ao novo usuário. Quando você estiver pronto para continuar, selecione Criar usuário.

Você pode usar esse mesmo processo para criar mais grupos e usuários e conceder aos seus usuários acesso aos recursos da sua Conta da AWS. Para saber como usar políticas para restringir as permissões de usuário a recursos específicos da AWS, consulte Gerenciamento de acesso e Exemplos de políticas.

Para fazer login como novo usuário do IAM, primeiro saia doAWS Management Console. Em seguida, use o seguinte URL, onde your_aws_account_id é o número da conta da AWS sem os hifens (por exemplo, se o número da sua conta da AWS é 1234-5678-9012, o ID da sua conta da AWS é 123456789012):

https://your_aws_account_id.signin.aws.amazon.com/console/

Insira o nome e a senha de usuário do IAM que você acabou de criar. Após fazer login, a barra de navegação exibirá your_user_name@your_aws_account_id.

Se você não quiser que a URL da página de cadastro contenha o ID da sua conta da AWS, crie um alias da conta. Para fazer isso, no painel do IAM, escolhaCrie um alias da contaE insira um alias, como o nome da sua empresa. Para fazer o login depois de criar o alias de uma conta, use o seguinte URL.

https://your_account_alias.signin.aws.amazon.com/console/

Para verificar o link de login para usuários do IAM da sua conta, abra o console do IAM e verifique em Alias da conta da AWS, no painel.

Configurar MFA

Devido à natureza doAWS Control Tower, é altamente recomendável habilitar a autenticação multifator (MFA) para a conta de gerenciamento. Para obter mais informações, consulteAtivar MFA no usuário raiz da conta da AWSnoIAM User Guide.

Próxima etapa

Conceitos básicos do AWS Control Tower