AWS Control Tower continua sendo nossa principal escolha para gerenciar contas AWS em um ambiente com vários times. Ele oferece um mecanismo conveniente para pré-configurar controles de segurança e conformidade que serão automaticamente aplicados a novas landing zones. Isso é um exemplo de conformidade no ponto de mudança, pois os controles são aplicados e verificados sempre que uma nova infraestrutura é criada, eliminando a necessidade de verificações manuais de conformidade posteriormente. O AWS Control Tower Account Factory for Terraform (AFT) continuou a evoluir desde nossa última análise e agora está disponível em mais regiões da AWS. O AFT permite que as contas do Control Tower sejam provisionadas por meio de um pipeline de infraestrutura como código. Gostamos do fato de o AFT poder ser customizado para enviar webhooks ou realizar ações específicas para integrar de forma segura com ferramentas externas, como o GitHub Actions. Nossos times relataram ótimos resultados usando o AWS Control Tower para gerenciar contas, mas gostaríamos que a AWS aceitasse contribuições da comunidade para o projeto quando oportunidades de melhorias são identificadas.
O gerenciamento de multicontas é um desafio na AWS, especialmente na configuração e governança. AWS Control Tower aborda esse desafio simplificando a configuração e automatizando a governança; ele atende aos requisitos regulatórios com proteções. O AWS Control Tower possui uma Fábrica de Contas integrada que ajuda a automatizar a workflow de provisionamento de contas. Entre outras coisas, você pode atualizar, desassociar e fechar contas que você cria e provisiona por meio da Fábrica de Contas. Devido à sua falta de automação e personalização, a Amazon introduziu o AWS Control Tower Account Factory for Terraform (AFT). O AFT permite que você provisione personalizações para enviar webhooks ou tomar ações específicas que permitem a integração com outras ferramentas para iniciar trabalhos como parte do processo de criação da conta.
Um dos casos de uso aproveitados por nossa equipe foi gerenciar um conjunto de itens prontos para uso para contas que eram configurações deconfigure e esqueça para baselining e criação de acesso para roles para GitHub Actions. Isso resultou em fornecer às pessoas desenvolvedoras uma conta com segurança padrão estabelecida com um VPC totalmente integrado, pronto para receber workload via GitHub Actions. Nossas equipes relataram ótimos resultados usando o AWS Control Tower para gerenciar contas, como um único controle de acesso para várias equipes, e com o uso do AFT em suas tarefas.
O gerenciamento de contas com múltiplos times é um desafio na AWS, especialmente a configuração e governança. AWS Control Tower é uma tentativa de enfrentar esse desafio. Nossa equipe tem relatado bons resultados usando-o para gerenciar contas e controle de acesso para vários times da organização por meio de um único local centralizado.
