AWS Control Tower

🗼 AWS Control Tower : L’Orchestrateur de Gouvernance

Control Tower est un service géré qui permet de configurer et de gérer automatiquement un environnement multi-comptes sécurisé et conforme, appelé Landing Zone.

🏗️ 1. La Landing Zone (Zone d’atterrissage)

C’est l’environnement de base que Control Tower déploie pour toi. En quelques clics, il configure automatiquement la structure fondamentale de ton organisation :

• Création des OU (Unités Organisationnelles) de base : Généralement une OU “Security” (pour les logs et l’audit) et une OU “Workloads” ou “Sandbox” (pour tes applications).

• Comptes partagés (Core Accounts) : Il crée automatiquement un compte de Log Archive (centralisation de tous les CloudTrail et logs Config) et un compte Audit (accès en lecture seule pour les équipes de sécurité).

• SSO (IAM Identity Center) : Il configure automatiquement l’annuaire par défaut et te donne une URL de connexion centralisée.

🏭 2. Account Factory (L’usine à comptes)

C’est la “machine à distribuer” des comptes AWS de manière standardisée.

• Automatisation : Plutôt que de créer un compte manuellement, d’y configurer Config, de le lier à l’organisation et d’y attacher les bonnes SCP, l’Account Factory fait tout cela en une seule action.

• Standardisation : Chaque nouveau compte généré (Vended Account) sort avec le bon réseau (VPC par défaut ou non), les bons accès IAM Identity Center et les bons outils de surveillance (CloudTrail activé, Config activé) déjà configurés.

🛡️ 3. Les Contrôles (Anciennement “Guardrails”)

Control Tower applique des règles de gouvernance pour s’assurer que ton environnement reste conforme. Ces contrôles se divisent en trois catégories :

• Préventifs (Preventive) : Ils empêchent une action d’avoir lieu.

  • Technologie sous-jacente : Ils sont implémentés via les SCP (Service Control Policies).

  • Exemple : Interdire de désactiver AWS CloudTrail ou AWS Config dans un compte membre.

• Détectifs (Detective) : Ils n’empêchent pas l’action, mais lèvent une alerte si une ressource est non conforme.

  • Technologie sous-jacente : Ils sont implémentés via les règles AWS Config.

  • Exemple : Détecter si un bucket S3 autorise la lecture publique.

• Proactifs (Proactive) : Ils scannent les ressources avant leur déploiement.

  • Technologie sous-jacente : Basés sur les CloudFormation Hooks.

Note : Les contrôles peuvent être “Obligatoires” (Mandatory - appliqués par défaut par Control Tower) ou “Optionnels” (Strongly Recommended / Elective - que tu choisis d’activer).

📊 4. Le Dashboard Centralisé

Control Tower offre un tableau de bord unique dans le compte de gestion (Management Account) pour voir :

• Le nombre de comptes gérés.

• Les OU configurées.

• L’état de conformité global (Quels comptes violent quels contrôles détectifs ?).

---

💡 Aide-mémoire Obsidian (Ajouts Control Tower)

• Sous le capot : Control Tower n’est pas une magie noire, c’est une surcouche. Si tu le désactives, tes comptes, SCP et règles Config (créés par Control Tower) continuent d’exister.

• Personnalisation (Customizations for Control Tower - CfCT) : Tu peux étendre Control Tower en utilisant des pipelines CI/CD (avec CloudFormation ou Terraform) pour déployer des ressources ou des SCP spécifiques automatiquement à chaque création de compte.

• Limitations : Control Tower a des régions “Home” et ne supporte pas nativement le déplacement libre de comptes entre des OU non enregistrées sans risquer une “dérive” (Drift).

• Drift (Dérive) : Si un administrateur modifie manuellement une règle Config ou une SCP gérée par Control Tower en dehors de la console Control Tower, le tableau de bord affichera un état “Drifted” (Désynchronisé) qu’il faudra réparer.