Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
In den gemeinsamen Konten erstellte Ressourcen
In diesem Abschnitt werden die Ressourcen angezeigt, die AWS Control Tower in den gemeinsamen Konten erstellt, wenn Sie Ihre landing zone einrichten.
Informationen zu Ressourcen für Mitgliedskonten finden Sie unterÜberlegungen zu Ressourcen für Account Factory.
Ressourcen für Verwaltungskonten
Wenn Sie Ihre landing zone einrichten, werden die folgenden AWS Ressourcen in Ihrem Verwaltungskonto erstellt.
| AWS Service | Ressourcentyp | Ressourcenname |
|---|---|---|
| AWS Organizations | Konten | audit log archive |
| AWS Organizations | Organisationseinheiten | Security Sandbox |
| AWS Organizations | Service-Kontrollrichtlinien | aws-guardrails-* |
| AWS CloudFormation | Stacks | AWSControlTowerBP-BASELINE-CLOUDTRAIL-MASTER AWSControlTowerBP-BASELINE-CONFIG-MASTER(in Version 2.6 und höher; nicht in 4.0 und höher bereitgestellt) |
| AWS CloudFormation | StackSets |
AWSControlTowerBP-BASELINE-CLOUDTRAIL(Nicht in 3.0 und höher bereitgestellt) AWSControlTowerBP_BASELINE_SERVICE_LINKED_ROLE (Deployed in 3.2 and later) AWSControlTowerBP-BASELINE-CLOUDWATCH AWSControlTowerBP-BASELINE-CONFIG AWSControlTowerBP-BASELINE-ROLES AWSControlTowerBP-BASELINE-SERVICE-ROLES AWSControlTowerBP-SECURITY-TOPICS AWSControlTowerLoggingResources AWSControlTowerSecurityResources AWSControlTowerExecutionRole AWSControlTowerBP-CONFIG-CENTRAL-S3-BUCKET(In 4.0 und höher bereitgestellt) |
| AWS Service Catalog | Produkt | AWS Control Tower Account Factory |
| AWS Config | Aggregator | aws-controltower-ConfigAggregatorForOrganizations(Nicht in 4.0 und höher bereitgestellt) |
| AWS CloudTrail | Trail | aws-controltower-BaselineCloudTrail |
| Amazon CloudWatch | CloudWatch Logs | aws-controltower/CloudTrailLogs |
| AWS Identity and Access Management | Rollen | AWSControlTowerAdmin AWSControlTowerStackSetRole AWSControlTowerCloudTrailRolePolicy |
| AWS Identity and Access Management | Richtlinien | AWSControlTowerServiceRolePolicy AWSControlTowerAdminPolicy AWSControlTowerCloudTrailRolePolicy AWSControlTowerStackSetRolePolicy |
| AWS IAM Identity Center | Verzeichnisgruppen | AWSAccountFactory AWSAuditAccountAdmins AWSControlTowerAdmins AWSLogArchiveAdmins AWSLogArchiveViewers AWSSecurityAuditors AWSSecurityAuditPowerUsers AWSServiceCatalogAdmins |
| AWS IAM Identity Center | Berechtigungssätze | AWSAdministratorAccess AWSPowerUserAccess AWSServiceCatalogAdminFullAccess AWSServiceCatalogEndUserAccess AWSReadOnlyAccess AWSOrganizationsFullAccess |
Anmerkung
Das CloudFormation StackSet BP_BASELINE_CLOUDTRAIL wird in landing zone Zone-Versionen 3.0 oder höher nicht bereitgestellt. In früheren Versionen der landing zone ist sie jedoch weiterhin vorhanden, bis Sie Ihre landing zone aktualisieren.
Ab Juni 2025 setzt AWS Control Tower Detective Controls als serviceverknüpfte AWS Config Regeln direkt in registrierten Konten ein, statt sie über. CloudFormation StackSets Die StackSets AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-READ-PROHIBITED und AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-WRITE-PROHIBITED und die zugehörigen Stack-Instances werden nicht mehr bereitgestellt. Weitere Informationen finden Sie unter Support für Detective Controls, die als servicebasierte AWS Config-Regeln bereitgestellt werden.
Kontoressourcen protokollieren
Wenn Sie Ihre landing zone einrichten, werden die folgenden AWS Ressourcen in Ihrem Logarchivkonto erstellt.
| AWS Service | Ressourcentyp | Ressourcenname |
|---|---|---|
| AWS CloudFormation | Stacks |
StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH- StackSet-AWSControlTowerBP-BASELINE-CONFIG- StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL- StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES- StackSet-AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLE-(In 3.2 and later) StackSet-AWSControlTowerBP-BASELINE-ROLES- StackSet-AWSControlTowerLoggingResources- |
| AWS Config | AWS-Config-Regeln | AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_READ_PROHIBITED AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_WRITE_PROHIBIT |
| AWS CloudTrail | Trails | aws-controltower-BaselineCloudTrail |
| Amazon CloudWatch | CloudWatch Regeln für Veranstaltungen | aws-controltower-ConfigComplianceChangeEventRule |
| Amazon CloudWatch | CloudWatch Logs | /aws/lambda/aws-controltower-NotificationForwarder |
| AWS Identity and Access Management | Rollen | aws-controltower-AdministratorExecutionRole aws-controltower-CloudWatchLogsRole aws-controltower-ConfigRecorderRole aws-controltower-ForwardSnsNotificationRole aws-controltower-ReadOnlyExecutionRole AWSControlTowerExecution |
| AWS Identity and Access Management | Richtlinien | AWSControlTowerServiceRolePolicy |
| Amazon Simple Notification Service | Topics | aws-controltower-SecurityNotifications |
| AWS Lambda | Anwendungen | StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-* |
| AWS Lambda | Funktionen | aws-controltower-NotificationForwarder |
| Amazon Simple Storage Service | Buckets | aws-controltower-logs-* aws-controltower-s3-access-logs-* |
Kontoressourcen prüfen
Wenn Sie Ihre landing zone einrichten, werden die folgenden AWS Ressourcen in Ihrem Auditkonto erstellt.
| AWS Service | Ressourcentyp | Ressourcenname |
|---|---|---|
| AWS CloudFormation | Stacks |
StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH- StackSet-AWSControlTowerBP-BASELINE-CONFIG- StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL- StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES- StackSet-AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLE-(In 3.2 and later) StackSet-AWSControlTowerBP-SECURITY-TOPICS- StackSet-AWSControlTowerBP-BASELINE-ROLES- StackSet-AWSControlTowerSecurityResources-* StackSet-AWSControlTowerBP-CONFIG-CENTRAL-S3-BUCKET-(In 4.0 und höher eingesetzt) |
| AWS Config | Aggregator | aws-controltower-GuardrailsComplianceAggregator(In 4.0 und höher nicht bereitgestellt) |
| AWS Config | Aggregator | aws-controltower-ConfigAggregatorForOrganizations(In 4.0 und höher bereitgestellt) |
| AWS Config | AWS-Config-Regeln | AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_READ_PROHIBITED AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_WRITE_PROHIBITED |
| AWS CloudTrail | Trail | aws-controltower-BaselineCloudTrail |
| Amazon CloudWatch | CloudWatch Regeln für Veranstaltungen | aws-controltower-ConfigComplianceChangeEventRule |
| Amazon CloudWatch | CloudWatch Logs | /aws/lambda/aws-controltower-NotificationForwarder |
| AWS Identity and Access Management | Rollen | aws-controltower-AdministratorExecutionRole aws-controltower-CloudWatchLogsRole aws-controltower-ConfigRecorderRole aws-controltower-ForwardSnsNotificationRole aws-controltower-ReadOnlyExecutionRole aws-controltower-AuditAdministratorRole aws-controltower-AuditReadOnlyRole AWSControlTowerExecution |
| AWS Identity and Access Management | Richtlinien | AWSControlTowerServiceRolePolicy |
| Amazon Simple Notification Service | Topics | aws-controltower-AggregateSecurityNotifications aws-controltower-AllConfigNotifications aws-controltower-SecurityNotifications |
| AWS Lambda | Funktionen | aws-controltower-NotificationForwarder |
| Amazon Simple Storage Service | Buckets | aws-controltower-config-logs-*(In 4.0 und höher bereitgestellt) aws-controltower-config-access-logs-*(In 4.0 und höher bereitgestellt) |
