Control Tower

Question 1

Control Tower
Для чего нужен сервис?

Answer 1

Control Tower - сервис, который позволяет
- создавать шаблонные аккаунты в AWS организации
- навязывать (а ещё мониторить и исправлять) соблюдение compliance policies в этих аккаунтах

Question 2

Что такое Account Factory, baselines?
Что под капотом использует Account Factory?

Answer 2

Account Factory - фича Control Tower для автоматизации создания
AWS аккаунтов в Организации по шаблону.

Можно создавать pre-approved baselines (шаблоны),
включающие в себя конфигурации VPC сетей, подсетей, регионов, etc

Под капотом использует сервис AWS Catalog

Question 3

GuardRails
Что такое guardrails?
Что и через какие сервисы можно делать через guardrails в случае нарушения policies?
- обнаруживать
- чинить
- предотвращать

Answer 3

Guardrail - фича Control Tower, чтобы Detect & remediate policy violations

• обнаруживать - через AWS Config
• чинить - remediation actions через AWS Config, SSM Automation
• предотвращать - через SCP ограничения

Question 4

GuardRails
Каких трёх видов бывают? Какие из них обязательны?

Answer 4

• MANDATORY (включены по-умолчанию)
• STRONGLY RECOMMENDED (опциональные)
• ELECTIVE (опциональные)

Question 5

Log Archive Account
Auditing Account
Что это такое?

Answer 5

Log Archive Account - это конкретное понятие в AWS Control Tower
Это AWS аккаунт, который собирает логи (об использовании API и изменении конфигураций AWS ресурсов) из других AWS аккаунтов.

Есть ещё Audit Account. Он позволяет security & compliance команде получить доступ ко всем аккаунтам в AWS организации.

Question 6

Environment (Landing Zone)
Что это?
Что включает в себя?

Answer 6

Landing Zone - это единица сервиса AWS Control Tower.
Это группа AWS ресурсов, которые относятся к ControlTower в конкретном регионе.
ControlTower Environment включает в себя
- AWS Organisation, AWS OUs
- AWS Accounts (в том числе Log Archive Account, Audit Account)
- GuardRails, Policies, SCPs, AWS Config Rules
- Account Factory, baselines, AWS Catalog Products
- IAM Identity Center

Question 7

Account Factory Customization
Что Customization позволяет делать с аккаунтами, созданными через Account Factory?

Что такое Custom Blueprint?
Чем он представлен? Что он делает?

Что такое Hub Account?

Answer 7

Account Factory позволяет создавать AWS аккаунты из сервиса Control Tower

Customization позволяет изменять ресурсы в НОВЫХ и СУЩЕСТВУЮЩИХ AWS аккаунтах, созданных через Account Factory через Custom Blueprint

Custom Blueprint - это CloudFormation template,
который определяет ресурсы и настройки,
которые мы хотим изменить в AWS аккаунтах.
Custom Blueprint объявляется в форме Service Catalog Product’а и хранится в сервисе Service Catalog

Best Practice
Хранить свои Blueprint’ы НЕ в Management Account’е, а в Hub Account’е

Question 8

Миграция внешнего AWS аккаунта к себе в организацию
По пунктам как её сделать?
Ключевые слова: OU, safe zone, IAM Execution Role, AWS Config Conformance Packs, Control Tower Landing Zone

Answer 8

1. Создаём временный пустой OU (так называемый “safe zone”)
2. Добавляем AWS аккаунт в этот OU
3. Создаём IAM Execution Role, которая позволит Control Tower’у управлять новым аккаунтом
4. Деплоим AWS Config Conformance Packs в этот аккаунт, чтобы он стал compliant
5. Отправляем аккаунт в свой полноценный OU

Всё это происходит внутри Landing Zone
Новый аккаунт как бы проходит “дезинфекцию” во временном OU.

Question 9

Customizations for Control Tower (CfCT)
Что это такое?
На что похоже?

Answer 9

Customizations for Control Tower (CfCT) - это AWS framework на базе git, который позволяет кастомизировать Landing Zones через CloudFormation templates и SCPs

В целом идея CfCT похожа на Account Factory Blueprint
Но CfCT позволяет деплоить НЕСКОЛЬКО CloudFormation templates
(или НЕСКОЛЬКО SCPs).

Question 10

Сколько Account Factory Blueprint’ов может быть задеплоено в AWS аккаунт?
Сколько Customization’ов for Control Tower может быть задеплоено в AWS аккаунт

Answer 10

• один
• несколько