Terminology - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Terminology

Aqui está uma rápida revisão de alguns termos que você verá na documentação da AWS Control Tower.

Primeiro, é bom saber que a AWS Control Tower compartilha muita terminologia com o serviço AWS Organizations, incluindo os termosorganizaçãoeUnidade organizacional (UO), que aparecem ao longo deste documento.

  • Para obter mais informações sobre organizações e UOs, consulteTerminologia e conceitos do AWS Organizations. Se você é novo na AWS Control Tower, essa terminologia é um bom lugar para começar.

  •  AWS OrganizationsO é um serviço da AWS que ajuda você a governar centralmente o ambiente à medida que aumenta e amplia suas cargas de trabalho na AWS. A AWS Control Tower depende do AWS Organizations para criar contas, impor guardrails preventivos no nível da UO e fornecer faturamento centralizado.

  • UmaConta da AWS Account Factoryé uma conta da AWS provisionada usando o Account Factory na AWS Control Tower. Às vezes, o Account Factory é informalmente chamado de “máquina de venda automática” para contas.

  • Sua AWS Control TowerPágina inicial Regiãoé a região da AWS na qual sua landing zone da AWS Control Tower foi implantada. Você pode visualizar sua região de origem nas configurações da sua landing zone.

  • AWS Service Catalogpermite gerenciar serviços de TI comumente implantados, centralmente. No contexto deste documento, a Account Factory usa o AWS Service Catalog para provisionar novas contas da AWS.

  • Conjuntos StackSets do AWS CloudFormationSão um tipo de recurso que amplia a funcionalidade das pilhas para que você possa criar, atualizar ou excluir pilhas em várias contas e regiões com uma única operação e um único modelo do CloudFormation.

  • UMAinstância de pilhaÉ uma referência a uma pilha em uma conta de destino dentro de uma região.

  • UMApilhaÉ uma coleção de recursos da AWS que pode ser gerenciada como uma unidade.

  • Umaagregadoré um tipo de recurso do AWS Config que coleta dados de configuração e conformidade do AWS Config de várias contas e regiões da organização, permitindo que você visualize e consulte esses dados de conformidade em uma única conta.

  • UMAPacote de conformidadeÉ um conjunto de regras do AWS Config e ações de correção que podem ser implantadas como uma única entidade em uma conta e em uma região, ou em uma organização no AWS Organizations. Você pode usar um pacote de conformidade para ajudar a personalizar seu ambiente da AWS Control Tower. Para obter blogs técnicos que fornecem mais detalhes, consulteInformações relacionadas.

  • Linha de base:Fazer a linha de base de uma conta é configurar seus esquemas e proteções. O processo de linha de base também configura o registro em log centralizado e as funções de auditoria de segurança na conta, como parte da implantação dos esquemas. As linhas de base da AWS Control Tower estão contidas nas funções que você aplica a todas as contas inscritas.

  • Oscilação:Uma alteração em um recurso instalado e configurado pela AWS Control Tower. Recursos sem drift permitem que a AWS Control Tower funcione corretamente.

  • Recurso não compatível: Um recurso que viola uma regra do AWS Config que define um guardrail de detetive específico.

  • Conta compartilhada: Uma das três contas que o AWS Control Tower cria automaticamente quando você configura sua landing zone: a conta de gerenciamento, a conta de arquivamento de logs e a conta de auditoria. Você pode escolher nomes personalizados para a conta de arquivamento de logs e para a conta de auditoria durante a configuração.

  • Conta de membro: Uma conta de membro pertence à organização da AWS Control Tower. A conta de membro pode serinscritosounão inscritoNa AWS Control Tower. Quando uma UO registrada contém uma combinação de contas inscritas e não cadastradas:

    • Guardrails preventivos ativados na UO se aplicam a todas as contas dentro dela, incluindo as não cadastradas. Isso é verdade porque os guardrails preventivos são aplicados com SCPs no nível da OU, não no nível da conta. Para obter mais informações, consulteHerança para políticas de controle de serviçoNa documentação do AWS Organizations.

    • Guardrails de Detective ativados na UO não se aplicam a contas não cadastradas.

    Uma conta pode ser membro de apenas uma organização de cada vez, e suas cobranças são cobradas na conta de gerenciamento dessa organização. Uma conta de membro pode ser movida para o contêiner raiz de uma organização.

  • Conta da AWS: Uma conta da AWS atua como contêiner de recursos e limite de isolamento de recursos. Uma conta da AWS pode ser associada ao faturamento e ao pagamento. UmaAWSconta é diferente de uma conta de usuário (às vezes chamada deConta do IAM) na AWS Control Tower. As contas criadas por meio do processo de provisionamento da Account Factory são contas da AWS. As contas da AWS também podem ser adicionadas à AWS Control Tower por meio do processo de registro de conta ou de registro de UO.

  • Secundário: Uma proteção é uma regra de alto nível que fornece governança contínua para todo o ambiente da AWS Control Tower. Cada corrimão impõe uma única regra. Guardrails preventivos são implementados com SCPs. Guardrails de Detective são implementados com as regras do AWS Config. Para obter mais informações, consulte Como proteções funcionam.

  • Zona de pouso: Uma landing zone é um ambiente de nuvem que oferece um ponto de partida recomendado, incluindo contas padrão, estrutura de contas, layouts de rede e segurança, e assim por diante. A partir de uma landing zone, você pode implantar cargas de trabalho que utilizam suas soluções e aplicativos.

  • Ou aninhada: Uma UO aninhada na AWS Control Tower é uma UO contida em outra UO. Uma UO aninhada pode ter exatamente uma UO principal, e cada conta pode ser membro de exatamente uma UO. As OUs aninhadas criam uma hierarquia. Quando você anexa uma política a uma das UOs na hierarquia, ela flui para baixo e afeta todas as UOs e contas abaixo dela. Uma hierarquia de UO aninhada na AWS Control Tower pode ter no máximo cinco níveis de profundidade.

  • Ou principal: A UO imediatamente acima da OU atual na hierarquia. Cada UO pode ter exatamente uma UO pai.

  • Ou infantil: Qualquer UO abaixo da OU atual na hierarquia. Uma UO pode ter muitas OUs infantis.

  • Hierarquia UO: Na AWS Control Tower, a hierarquia de OUs aninhadas pode ter até cinco níveis. A ordem de aninhamento é referida comoNíveis. O topo da hierarquia é designado comoNível 1.

  • Ou de nível superior: Uma UO de nível superior é qualquer UO diretamente sob a Raiz, não a própria Raiz. A raiz não é considerada uma UO.