AWS Control Tower offre un modo semplice per configurare e gestire un ambiente AWS multi-account, seguendo le best practices AWS. AWS Control Tower, infatti, orchestra le funzionalità di diversi altri servizi, tra cui AWS Organizations, AWS Service Catalog e AWS Single Sign-on, per costruire una landing zone, ovvero un ambiente multi-account, in meno di un'ora.
Le risorse sono impostate e gestite per vostro conto. L'orchestrazione di AWS Control Tower estende le capacità di AWS Organizations. Per supportarvi nel limitare il drift su tutti gli account gestiti, ossia la divergenza dalle best practices, AWS Control Tower applica controlli preventivi e investigativi (guardrail) in completa autonomia. Ad esempio, è possibile utilizzare i guardrail per garantire che i registri di sicurezza e le necessarie autorizzazioni di accesso cross-account siano creati e non alterati.
Quando si devono gestire diversi account, avere un livello di orchestrazione che ne faciliti distribuzione e gestione è estremamente vantaggioso. Con AWS Control Tower diventa possibile aderire agli standard aziendali, soddisfare i requisiti normativi e seguire le best practice in maniera semplice e veloce.
Non solo gestisce gli account esistenti, AWS Control Tower consente anche agli utenti finali di effettuare rapidamente il provisioning di nuovi account AWS, sulla base di modelli configurabili in Account Factory, che rispondono già alle regole aziendali stabilite. In questo modo i cloud administrators possono monitorare tutti gli account e assicurarsi che siano allineati con le politiche di conformità stabilite a livello aziendale.
In breve, AWS Control Tower offre il modo più semplice per impostare e governare un ambiente AWS sicuro, conforme e con più account, basato sulle migliori pratiche stabilite lavorando con migliaia di imprese.
A chi può servire AWS Control Tower?
AWS Control Tower può essere utilizzato sia nel settore privato, sia nel settore pubblico.
Spesso nel settore privato capita che l’azienda abbia diversi team o uffici in diverse parti del mondo. Con AWS Control tower è possibile gestire con semplicità più account AWS su un’unica dashboard.
Il settore pubblico come organizzazioni governative, sanitarie e università, invece, sono spesso focalizzate sul controllo, la sicurezza e la conformità normativa. Anche in questo caso AWS Control Tower può essere di aiuto: infatti dispone di governance e best practice integrate e fornisce rapidamente visibilità sullo stato di conformità.
Funzionalità di AWS Control Tower
Landing zone
Una landing zone è un ambiente multi-account ben architettato e basato sulle linee guida di sicurezza e conformità. È il contenitore a livello aziendale che contiene tutte le vostre unità organizzative (OU), gli account, gli utenti e altre risorse che volete che siano soggette alla regolamentazione della conformità. Una landing zone può scalare per adattarsi alle esigenze di un'impresa di qualsiasi dimensione.
Guardrails
Un guardrail è una regola di alto livello che fornisce una governance continua per il vostro ambiente AWS. Esistono due tipi di guardrail: preventivo e investigativo. Le regole impostate da un guardrail rientrano in tre diverse categorie: obbligatorie, fortemente raccomandate, facoltative.
Account Factory
Un Account Factory è un modello di account configurabile che aiuta a standardizzare il provisioning di nuovi account con configurazioni di account pre-approvate. AWS Control Tower offre una Account Factory integrata che aiuta ad automatizzare il flusso di lavoro di approvvigionamento degli account nella tua organizzazione.
Dashboard
La dashboard offre una visione d’insieme continua sulla tua landing zone. Attraverso la dashboard si vedono a colpo d’occhio tutte le informazioni salienti: account approvvigionati in tutta l'azienda, i guardrail abilitati per l'applicazione delle policy, i guardrail abilitati per il rilevamento continuo della non conformità, e le risorse non conformi organizzate per account e OU.
Interazione e integrazione con altri servizi AWS
AWS Control Tower è costruito sulla base di servizi AWS affidabili, tra cui AWS Service Catalog, AWS Single Sign-On e AWS Organizations, inoltre si può incorporare con altri servizi AWS in una soluzione che vi aiuta a migrare i vostri carichi di lavoro esistenti su AWS.
Configurazione, governance ed estensibilità: le tre parole chiave per AWS Control Tower
Configurazione automatica dell'account
AWS Control Tower automatizza la distribuzione e l'iscrizione degli account per mezzo di una Account Factory (o "distributore automatico"), costruita come astrazione sopra i prodotti forniti nel catalogo dei servizi AWS. L'Account Factory può creare e iscrivere account AWS, e automatizza il processo di applicazione di guardrail e policy a tali account.
Governance centralizzata
Impiegando le capacità di AWS Organizations, AWS Control Tower crea una struttura che assicura conformità e governance coerenti in tutto il tuo ambiente multi-account. Il servizio AWS Organizations fornisce capacità essenziali per la gestione di un ambiente di questo tipo, compresa la governance e la gestione centrale degli account, la creazione di account da API e le politiche di controllo dei servizi (SCP).
Estensibilità
È addirittura possibile costruire o estendere il vostro ambiente AWS Control Tower lavorando direttamente in AWS Organizations, così come nella console di AWS Control Tower, garantendo massima flessibilità.
Insomma, grazie a tutte queste potentissime features, AWS Control Tower rende la gestione di multipli account e organizzazioni, seppur di grandi dimensioni, un gioco da ragazzi, semplificando il processo e automatizzando le task più ripetitive e a scarso valore aggiunto.
