Gerenciar uma organização na AWS usando o Control Tower

O Control Tower, da AWS, é um serviço destinado a organizações com várias contas e equipes que procuram a maneira mais fácil de configurar seu novo ambiente da AWS com várias contas e controle em escala. 

A solução permite que você aplique e gerencie regras de governança para segurança, operações e conformidade em escala em todas as suas organizações e contas na nuvem AWS. Ele garante que a organização esteja conforme as políticas estabelecidas, enquanto os construtores provisionam novas contas da AWS rapidamente em poucos cliques ou nenhum. 

Usando o Control Tower, os administradores de nuvem podem configurar uma zona de aterrissagem automatizada que emprega blueprints de práticas recomendadas, como configurar a estrutura de várias contas usando o AWS Organizations, gerenciar identidades de usuários e acesso federado com o AWS Single Sign-on, habilitar o provisionamento de contas por meio do AWS Service Catalog e criar um arquivo de logs centralizado usando o AWS CloudTrail e o AWS Config. 

Para a governança contínua, eles podem habilitar grades de proteção pré-configuradas — regras claramente definidas para segurança, operações e conformidade — que impedem a implantação de recursos que não estão segundo as políticas e monitoram continuamente os recursos implantados em busca de não conformidade. O painel do Control Tower fornece visibilidade centralizada do ambiente da AWS, incluindo contas provisionadas, guardrails habilitados e o status de conformidade das contas. 

Um dos melhores recursos do Control Tower é que você pode usá-lo com uma organização da AWS pré-existente. 

Estrutura do Control Tower 

Essa é a estrutura padrão para quando você cria um Control Tower. Ele tem a OU principal com a conta de auditoria e a conta de arquivo de log. É claro que você pode adicionar outros tipos de contas que sua organização usa como contas principais, entrada, saída e fundação a essa OU. 

Account Factory 

Uma linha de base de conta configurável usando o princípio Infrastructure-as-code (IaC) é configurada como um produto de autoatendimento do AWS Service Catalog que pode ser usado para criar contas da AWS. O Account Factory ajuda a padronizar o provisionamento de novas contas com configurações e padrões de conta pré-aprovados para ajudar as organizações a iniciar sua jornada na AWS com uma conta criada para atender às melhores práticas de segurança da organização. 

Personalização para o Control Tower 

Cada organização tem seu próprio processo, por isso seria normal precisar de um processo de personalização no que o Control Tower da AWS implanta. 

Para isso, temos as Personalizações paro Control Tower (CFCT). Ele permite que as empresas atualizem a configuração do Ambiente das contas que vem do Account Factory. 

Exemplos: 

• Adicionar parâmetro do SSM na conta específica para cada ambiente ou para as automações de rede a serem usadas 
• Configuração de rede (VPC, Sub-rede, Gateway de Internet, VPC endpoints…) 
• Conjuntos de permissões para a conta 
• Informações da conta Addint em um banco de dados 

• Regras do AWS Config 
• Criação de Funções 

Qualquer tipo de criação de recursos pelos Padrões da organização precisa ser feito nesse processo, ou pelo menos o básico para que a conta seja funcional. 

Multi-Account Strategy 

As melhores práticas da AWS para um ambiente bem arquitetado recomendam que você separe seus recursos e cargas de trabalho em várias contas AWS. A Multi-Account Strategy oferece categorização de cargas de trabalho, bem como redução do raio de explosão quando as coisas dão errado. 

Uma conta da AWS oferece a capacidade de isolar recursos e conter ameaças de segurança para suas cargas de trabalho. Uma conta também fornece um mecanismo para faturamento e para governança de um ambiente de carga de trabalho. 

Diretrizes para configurar um ambiente bem arquitetado: 

• Várias contas da AWS 
• Várias unidades organizacionais (OUs) 
• Uma estrutura bem planejada 

Exemplos: 

Implantação de recursos adicionais com o AWS Service Catalog 

Há algum tempo escrevi um artigo (em inglês) sobre o AWS Service Catalog, você pode dar uma olhada aqui e entender um pouco melhor sobre ele e como implementá-lo sem usar o AWS Control Tower. 

O Control Tower da AWS tem um recurso no qual você pode compartilhar portfólios de catálogo de serviços por meio da organização da AWS (você pode especificar uma OU ou usar a OU raiz para todos), assim como o “Serviço organizacional” em uma das seções abaixo. 

GuardRails 

Para a seção GuardRails, o Control Tower da AWS oferece alguns obrigatórios e outros opcionais. Você precisa validar em caso de conflitos que possam acontecer com o GuardRails que sua empresa já implantou com os implantados pelo AWS Control Tower Service. 

GuardRails obrigatórios:  são ativados por padrão quando você configura sua zona de pouso e não podem ser desativados. 

GuardRails fortemente recomendados: são baseados nas práticas recomendadas para ambientes de várias contas bem arquitetados. Eles não são habilitados por padrão e podem ser desabilitados a qualquer momento. 

GuardRails eletivos:  permitiu que sua organização bloqueasse ou rastreasse tentativas de executar ações comumente restritas em um ambiente da AWS 

Não se esqueça de que esses são GuardRails disponíveis ao usar a AWS Control Tower, mas você também pode usar GuardRails de terceiros, como Cloud Custodian, Turbot para garantir medidas de segurança e conformidades em todo o seu ambiente da AWS. 

Unidades Organizacionais (OU) e Subunidades Organizacionais (Sub OU) 

E para contas principais não organizacionais, a organização pode ter quantos tipos de unidades organizacionais precisar para organizar e gerenciar as AWS Accounts. 

PS: As OUs no Control Tower têm uma limitação de 300 contas por OU, para contornar você pode criar SubOU dentro das OUs 

OU principal / contas compartilhadas 

Essas contas principais no ambiente são provisionadas durante a configuração do Control Tower. 

• Audit Account: é uma conta restrita projetada para dar às suas equipes de segurança e conformidade acesso de leitura e gravação a todas as contas em sua zona de aterrissagem. Na Audit Account, você tem acesso programático para revisar contas, por meio de uma função concedida somente às funções do Lambda. A Audit Account não permite que você faça login em outras contas manualmente, isso geralmente é feito por solicitação, Equipe do IAM ou automação da organização. 
• Log Archive Account: funciona como um repositório para logs de atividades de API e configurações de recursos de todas as contas no ambiente do Control Tower. 

PS: Não é recomendável executar qualquer tipo de carga de trabalho de produção a partir de uma conta de gerenciamento do Control Tower da AWS. Você pode criar uma conta separada do Control Tower da AWS para executar suas cargas de trabalho. 

Serviços Organizacionais 

Todos os serviços abaixo são habilitados no Mestre de cado Control Tower e dão suporte à delegação para outras contas (somente SCPs que não têm esse recurso). 

• GuardDuty 
• Security Hub 
• Configuração da AWS 

• Políticas de controle de serviço (SCPs) da AWS.  
• Catálogo de serviços da AWS 

Limitações do Control Tower 

• Os endereços de e-mail de contas compartilhadas na OU de segurança podem ser alterados, mas você deve atualizar sua zona de aterrissagem para ver essas alterações no console do Control Tower da AWS. 
• Um limite de 5 SCPs por OU se aplica a OUs na zona de aterrissagem do Control Tower da AWS. 

• As OUs existentes com mais de 300 contas não podem ser registradas ou registradas novamente no Control Tower da AWS (é por isso que usamos SubOUs em OUs). 

E, claro, existem cotas para todos os serviços integrados com o Control Tower: 

• AWS CloudFormation — AWS CloudFormation Quotas 
•  AWS CloudTrail — Quotas in AWS CloudTrail 
•  Amazon CloudWatch — CloudWatch Quotas 
• AWS Config — AWS Config Quotas 
• AWS Identity and Access Management — Quotas for IAM Entities and Objects 
• AWS Lambda — AWS Lambda Quotas 
• AWS Organizations — Quotas for AWS Organizations 
• Amazon Simple Storage Service — Bucket Restrictions and Quotas 
• AWS Service Catalog — AWS Service Catalog Default Service Quotas 
• AWS IAM Identity Center (successor to AWS Single Sign-On) — Quotas in IAM Identity Center 
• Amazon Simple Notification Service — Amazon Simple Notification Service (Amazon SNS) Quotas 
• AWS Step Functions — Quotas 

O Control Tower da AWS é um ótimo serviço da AWS, mas é um serviço complexo. Sua organização precisa de um certo grau de maturidade para usá-lo. 

Se a sua empresa se aplica a ele, pode pagar e tem funcionários especializados da AWS, esta é a melhor solução para sua organização. Caso contrário, a Landing Zone da AWS será suficiente. 

Há sempre várias maneiras de executar algo na AWS, você só precisa ver o que funciona melhor para os padrões da sua organização. 

Referências

https://docs.aws.amazon.com/controltower/latest/userguide/limits.html