As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Recursos criados nas contas compartilhadas
<a name="shared-account-resources"></a>

Esta seção mostra os recursos que o AWS Control Tower cria nas contas compartilhadas quando você configura a zona de pouso.

Consulte informações sobre os recursos de conta-membro em [Considerações sobre recursos do Account Factory](account-factory-considerations.md).

## Recursos da conta de gerenciamento
<a name="mgmt-account-resouces"></a>

Quando você configura sua landing zone, os seguintes AWS recursos são criados em sua conta de gerenciamento.


| Serviço da AWS | Tipo de atributo | Nome do recurso | 
| --- | --- | --- | 
| AWS Organizations | Contas | audit<br />log archive | 
| AWS Organizations | UOs | Security<br />Sandbox | 
| AWS Organizations | Políticas de controle de serviço | aws-guardrails-\* | 
| AWS CloudFormation | Pilhas | AWSControlTowerBP-BASELINE-CLOUDTRAIL-MASTER<br />AWSControlTowerBP-BASELINE-CONFIG-MASTER(na versão 2.6 e posterior; não implantado na 4.0 e posterior) | 
| AWS CloudFormation | StackSets | AWSControlTowerBP-BASELINE-CLOUDTRAIL (mão implantado na versão 3.0 e posterior)<br />AWSControlTowerBP\_BASELINE\_SERVICE\_LINKED\_ROLE (Deployed in 3.2 and later)<br />AWSControlTowerBP-BASELINE-CLOUDWATCH<br />AWSControlTowerBP-BASELINE-CONFIG<br />AWSControlTowerBP-BASELINE-ROLES<br />AWSControlTowerBP-BASELINE-SERVICE-ROLES<br />AWSControlTowerBP-SECURITY-TOPICS<br />AWSControlTowerLoggingResources<br />AWSControlTowerSecurityResources<br />AWSControlTowerExecutionRole<br />AWSControlTowerBP-CONFIG-CENTRAL-S3-BUCKET(Implantado na versão 4.0 e versões posteriores) | 
| AWS Service Catalog | Produto | Account Factory do AWS Control Tower | 
| AWS Config | Agregador | aws-controltower-ConfigAggregatorForOrganizations(Não implantado na versão 4.0 e versões posteriores) | 
| AWS CloudTrail | Trilha | aws-controltower-BaselineCloudTrail | 
| Amazon CloudWatch | CloudWatch Registros | aws-controltower/CloudTrailLogs | 
| AWS Identity and Access Management | Perfis | AWSControlTowerAdmin<br />AWSControlTowerStackSetRole<br />AWSControlTowerCloudTrailRolePolicy | 
| AWS Identity and Access Management | Políticas | AWSControlTowerServiceRolePolicy<br />AWSControlTowerAdminPolicy<br />AWSControlTowerCloudTrailRolePolicy<br />AWSControlTowerStackSetRolePolicy | 
| Centro de Identidade do AWS IAM | Grupos de diretórios | AWSAccountFactory<br />AWSAuditAccountAdmins<br />AWSControlTowerAdmins<br />AWSLogArchiveAdmins<br />AWSLogArchiveViewers<br />AWSSecurityAuditors<br />AWSSecurityAuditPowerUsers<br />AWSServiceCatalogAdmins | 
| Centro de Identidade do AWS IAM | Conjuntos de permissões | AWSAdministratorAccess<br />AWSPowerUserAccess<br />AWSServiceCatalogAdminFullAccess<br />AWSServiceCatalogEndUserAccess<br />AWSReadOnlyAccess<br />AWSOrganizationsFullAccess | 

**nota**  
O não CloudFormation StackSet `BP_BASELINE_CLOUDTRAIL` está implantado nas versões 3.0 ou posteriores do landing zone. No entanto, ele continua existindo nas versões anteriores da zona de pouso, até que você a atualize.  
A partir de junho de 2025, o AWS Control Tower implanta controles de detetive como AWS Config regras vinculadas a serviços diretamente nas contas inscritas, em vez de por meio delas. CloudFormation StackSets O StackSets `AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-READ-PROHIBITED` and `AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-WRITE-PROHIBITED` e suas instâncias de pilha associadas não são mais implantadas. Para obter mais informações, consulte [Support para controles de detetive implantados como regras do AWS Config vinculadas a serviços](https://docs.aws.amazon.com/controltower/latest/userguide/2025-all.html#managed-config-controls).

## Recursos da conta de arquivamento de logs
<a name="log-archive-resources"></a>

Quando você configura sua landing zone, os seguintes AWS recursos são criados em sua conta de arquivamento de registros.


| Serviço da AWS | Tipo de atributo | Nome do recurso | 
| --- | --- | --- | 
| AWS CloudFormation | Pilhas | StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-<br />StackSet-AWSControlTowerBP-BASELINE-CONFIG-<br />StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL-<br />StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES-<br />StackSet-AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLE-(In 3.2 and later)<br />StackSet-AWSControlTowerBP-BASELINE-ROLES-<br />StackSet-AWSControlTowerLoggingResources- | 
| AWS Config | Regras do AWS Config | AWSControlTower\_AWS-GR\_AUDIT\_BUCKET\_PUBLIC\_READ\_PROHIBITED<br />AWSControlTower\_AWS-GR\_AUDIT\_BUCKET\_PUBLIC\_WRITE\_PROHIBIT | 
| AWS CloudTrail | Trilhas | aws-controltower-BaselineCloudTrail | 
| Amazon CloudWatch | CloudWatch Regras do evento | aws-controltower-ConfigComplianceChangeEventRule | 
| Amazon CloudWatch | CloudWatch Registros | /aws/lambda/aws-controltower-NotificationForwarder | 
| AWS Identity and Access Management | Perfis | aws-controltower-AdministratorExecutionRole<br />aws-controltower-CloudWatchLogsRole<br />aws-controltower-ConfigRecorderRole<br />aws-controltower-ForwardSnsNotificationRole<br />aws-controltower-ReadOnlyExecutionRole<br />AWSControlTowerExecution | 
| AWS Identity and Access Management | Políticas | AWSControlTowerServiceRolePolicy | 
| Amazon Simple Notification Service | Tópicos | aws-controltower-SecurityNotifications | 
| AWS Lambda | Aplicativos | StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-\* | 
| AWS Lambda | Funções | aws-controltower-NotificationForwarder | 
| Amazon Simple Storage Service | Buckets | aws-controltower-logs-\*<br />aws-controltower-s3-access-logs-\* | 

## Recursos da conta de auditoria
<a name="audit-account-resources"></a>

Quando você configura sua landing zone, os seguintes AWS recursos são criados em sua conta de auditoria.


| Serviço da AWS | Tipo de atributo | Nome do recurso | 
| --- | --- | --- | 
| AWS CloudFormation | Pilhas | StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-<br />StackSet-AWSControlTowerBP-BASELINE-CONFIG-<br />StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL-<br />StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES-<br />StackSet-AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLE-(In 3.2 and later)<br />StackSet-AWSControlTowerBP-SECURITY-TOPICS-<br />StackSet-AWSControlTowerBP-BASELINE-ROLES-<br />StackSet-AWSControlTowerSecurityResources-\*<br />StackSet-AWSControlTowerBP-CONFIG-CENTRAL-S3-BUCKET-(Implantado na versão 4.0 e versões posteriores) | 
| AWS Config | Agregador | aws-controltower-GuardrailsComplianceAggregator(Não implantado na versão 4.0 e versões posteriores) | 
| AWS Config | Agregador | aws-controltower-ConfigAggregatorForOrganizations(Implantado na versão 4.0 e versões posteriores) | 
| AWS Config | Regras do AWS Config | AWSControlTower\_AWS-GR\_AUDIT\_BUCKET\_PUBLIC\_READ\_PROHIBITED<br />AWSControlTower\_AWS-GR\_AUDIT\_BUCKET\_PUBLIC\_WRITE\_PROHIBITED | 
| AWS CloudTrail | Trilha | aws-controltower-BaselineCloudTrail | 
| Amazon CloudWatch | CloudWatch Regras do evento | aws-controltower-ConfigComplianceChangeEventRule | 
| Amazon CloudWatch | CloudWatch Registros | /aws/lambda/aws-controltower-NotificationForwarder | 
| AWS Identity and Access Management | Perfis | aws-controltower-AdministratorExecutionRole<br />aws-controltower-CloudWatchLogsRole<br />aws-controltower-ConfigRecorderRole<br />aws-controltower-ForwardSnsNotificationRole<br />aws-controltower-ReadOnlyExecutionRole<br />aws-controltower-AuditAdministratorRole<br />aws-controltower-AuditReadOnlyRole<br />AWSControlTowerExecution | 
| AWS Identity and Access Management | Políticas | AWSControlTowerServiceRolePolicy | 
| Amazon Simple Notification Service | Tópicos | aws-controltower-AggregateSecurityNotifications<br />aws-controltower-AllConfigNotifications<br />aws-controltower-SecurityNotifications | 
| AWS Lambda | Funções | aws-controltower-NotificationForwarder | 
| Amazon Simple Storage Service | Buckets | aws-controltower-config-logs-\*(Implantado na versão 4.0 e versões posteriores)<br />aws-controltower-config-access-logs-\*(Implantado na versão 4.0 e versões posteriores) |