Terminologia - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Terminologia

Aqui está uma rápida análise de alguns termos que você verá na documentação do AWS Control Tower.

Primeiro, é bom saber que o AWS Control Tower compartilha muita terminologia com o AWS Organizations serviço, incluindo os termos organização e unidade organizacional (OU), que aparecem em todo este documento.

  • Para obter mais informações sobre organizações e OUs, consulte AWS Organizations terminologia e conceitos. Se você é novo no AWS Control Tower, essa terminologia é um bom lugar para começar.

  •  AWS Organizationsé um AWS serviço que ajuda você a governar centralmente seu ambiente à medida que você cresce e expande suas cargas de trabalho. AWS O AWS Control Tower depende AWS Organizations da criação de contas, da aplicação de controles preventivos no nível da UO e do fornecimento de faturamento centralizado.

  • Uma AWS conta Account Factory é uma AWS conta provisionada usando o Account Factory na AWS Control Tower. Às vezes, o Account Factory é chamado informalmente de “máquina de venda automática” para contas.

  • Sua região de origem do AWS Control Tower é a AWS região na qual sua landing zone da AWS Control Tower foi implantada. Você pode ver sua região de origem nas configurações do seu landing zone.

  • AWS Service Catalogpermite que você gerencie serviços de TI comumente implantados de forma centralizada. No contexto deste documento, o Account Factory usa AWS Service Catalog para provisionar novas AWS contas, incluindo contas de modelos personalizados.

  • AWS CloudFormation StackSetssão um tipo de recurso que amplia a funcionalidade das pilhas para que você possa criar, atualizar ou excluir pilhas em várias contas e regiões com uma única operação e um único CloudFormation modelo.

  • Uma instância de pilha é uma referência a uma pilha em uma conta de destino em uma região.

  • Uma pilha é uma coleção de AWS recursos que você pode gerenciar como uma única unidade.

  • Um agregador é um tipo de AWS Config recurso que coleta dados de AWS Config configuração e conformidade de várias contas e regiões da organização, permitindo que você visualize e consulte esses dados de conformidade em uma única conta.

  • Um pacote de conformidade é um conjunto de AWS Config regras e ações de remediação que podem ser implantadas como uma única entidade em uma conta e uma região, ou em uma organização em. AWS Organizations Você pode usar um pacote de conformidade para ajudar a personalizar seu ambiente do AWS Control Tower. Para blogs técnicos que fornecem mais detalhes, consulte Informações relacionadas.

  • Uma linha de base no AWS Control Tower é um grupo de recursos e configurações específicas que você pode aplicar a um alvo. A meta básica mais comum pode ser uma unidade organizacional (OU). Por exemplo, a linha de base chamada AWSControlTowerBaseline está disponível para ajudar a registrar suas OUs no AWS Control Tower. Durante a configuração e atualização da zona de pouso, a meta básica pode ser uma conta compartilhada ou uma configuração específica para a zona de pouso como um todo.

  • Blueprint: Um blueprint é um artefato que encapsula alguns metadados, que descreve os componentes da infraestrutura que são implantados em uma conta. Por exemplo, um AWS CloudFormation modelo pode servir como um modelo para uma conta do AWS Control Tower.

  • Drift: uma alteração em um recurso instalado e configurado pelo AWS Control Tower. Recursos sem desvio permitem que o AWS Control Tower funcione adequadamente.

  • Recurso não compatível: um recurso que viola uma AWS Config regra que define um controle específico de detetive.

  • Conta compartilhada: uma das três contas que o AWS Control Tower cria automaticamente quando você configura sua landing zone: a conta de gerenciamento, a conta de arquivamento de registros e a conta de auditoria. Você pode escolher nomes personalizados para a conta de arquivamento de registros e a conta de auditoria durante a configuração.

  • Conta de membro: uma conta de membro pertence à organização AWS Control Tower. A conta do membro pode ser cadastrada ou cancelada no AWS Control Tower. Quando uma OU registrada contém uma combinação de contas inscritas e não inscritas:

    • Os controles preventivos habilitados na OU se aplicam a todas as contas dentro dela, inclusive as não inscritas. Isso é verdade porque os controles preventivos são aplicados com SCPs no nível da OU, não no nível da conta. Para obter mais informações, consulte Herança para políticas de controle de serviços na AWS Organizations documentação.

    • Os controles de detetive ativados na OU não se aplicam a contas não inscritas.

    Uma conta só pode ser membro de uma organização por vez, e suas cobranças são cobradas na conta de gerenciamento dessa organização. Uma conta de membro pode ser movida para o contêiner raiz de uma organização.

  • AWS conta: uma AWS conta atua como um contêiner de recursos e um limite de isolamento de recursos. Uma AWS conta pode ser associada ao faturamento e ao pagamento. Uma AWS conta é diferente de uma conta de usuário (às vezes chamada de conta de usuário do IAM) no AWS Control Tower. As contas criadas por meio do processo de provisionamento do Account Factory são AWS contas. AWS contas também podem ser adicionadas ao AWS Control Tower por meio do processo de inscrição da conta ou registro da OU.

  • Controle: um controle (também conhecido como guardrail) é uma regra de alto nível que fornece governança contínua para seu ambiente geral do AWS Control Tower. Cada controle impõe uma única regra. Os controles preventivos são implementados com SCPs. Os controles de detetive são implementados com AWS Config regras. Os controles proativos são implementados com AWS CloudFormation ganchos. Para ter mais informações, consulte Como os controles funcionam.

  • Zona de aterrissagem: uma landing zone é um ambiente em nuvem que oferece um ponto de partida recomendado, incluindo contas padrão, estrutura de contas, layouts de rede e segurança, etc. A partir de uma landing zone, você pode implantar cargas de trabalho que utilizam suas soluções e aplicativos.

  • OU aninhada: uma OU aninhada no AWS Control Tower é uma OU contida em outra OU. Uma OU aninhada pode ter exatamente uma OU principal, e cada conta pode ser membro de exatamente uma OU. As UOs aninhadas criam uma hierarquia. Quando você anexa uma política a uma das OUs na hierarquia, ela flui para baixo e afeta todas as OUs e contas abaixo dela. Uma hierarquia de OU aninhada no AWS Control Tower pode ter no máximo cinco níveis de profundidade.

  • OU principal: A OU imediatamente acima da OU atual na hierarquia. Cada OU pode ter exatamente uma OU principal.

  • OU secundária: Qualquer OU abaixo da OU atual na hierarquia. Uma OU pode ter muitas OUs secundárias.

  • Hierarquia de UOs: no AWS Control Tower, a hierarquia de OUs aninhadas pode ter até cinco níveis. A ordem de aninhamento é chamada de Níveis. O topo da hierarquia é designado como Nível 1.

  • OU de nível superior: Uma OU de nível superior é qualquer OU que esteja diretamente sob a raiz, não a raiz em si. A raiz não é considerada uma OU.