本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWSControlTowerExecution 角色說明
所有已註冊的帳戶中都必須存在有 AWSControlTowerExecution 角色。它可讓 AWS Control Tower 管理您的個別帳戶,並將其相關資訊報告給您的 Audit and Log Archive 帳戶。
角色AWSControlTowerExecution可以透過多種方式新增至 帳戶,如下所示:
-
對於安全 OU 中的帳戶 (有時稱為核心帳戶),AWS Control Tower 會在初始 AWS Control Tower 設定時建立角色。
-
對於透過 AWS Control Tower 主控台建立的帳戶工廠帳戶,AWS Control Tower 會在帳戶建立時建立此角色。
-
對於單一帳戶註冊,我們要求客戶手動建立角色,然後在 AWS Control Tower 中註冊帳戶。
-
將控管延伸至 OU 時,AWS Control Tower 會使用 StackSet-AWSControlTowerExecutionRole 在該 OU 中的所有帳戶中建立角色。
AWSControlTowerExecution 角色的目的:
-
AWSControlTowerExecution可讓您使用指令碼和 Lambda 函數自動建立和註冊帳戶。 -
AWSControlTowerExecution可協助您設定組織的日誌記錄,以便將每個帳戶的所有日誌傳送至日誌帳戶。 -
AWSControlTowerExecution可讓您在 AWS Control Tower 中註冊個別帳戶。首先,您必須將AWSControlTowerExecution角色新增至該帳戶。如需如何新增角色的步驟,請參閱 手動將必要的 IAM 角色新增至現有 AWS 帳戶 並註冊。
AWSControlTowerExecution 角色如何與 OUs 搭配使用:
此AWSControlTowerExecution角色可確保您選擇的 AWS Control Tower 控制項會自動套用至組織中每個 OU 中的每個個別帳戶,以及您在 AWS Control Tower 中建立的每個新帳戶。因此:
-
您可以根據 AWS Control Tower 控制項所體現的稽核和記錄功能,更輕鬆地提供合規和安全性報告。
-
您的安全及合規團隊可以確認所有要求都符合,而且沒有發生任何組織偏離。
如需偏離的詳細資訊,請參閱在 AWS Control Tower 中偵測和解決偏離。
總而言之,AWSControlTowerExecution 角色及其相關政策可讓您彈性地控制整個組織的安全與合規。因此,安全性或通訊協定的違規不太可能發生。
