AWS Control Tower is AWS's managed landing zone-product. Voor organisaties die niet zelf een complete multi-account-architectuur willen bouwen, een productieve start.
Multi-account-model
Master account, security/audit account, log-archive account, plus workload-accounts per environment. Account Factory voor automatische account-provisioning met baseline-config. Geen losse accounts handmatig opzetten.
Guardrails
Preventive guardrails (Service Control Policies die action blokkeren) en detective guardrails (Config rules die compliance meten). Vooraf-gedefinieerde set plus custom uitbreidingen voor BIO of NIS2-context.
Identity en federation
IAM Identity Center voor single sign-on tussen accounts. Federation met Entra ID voor klanten met M365-stack. Permission Sets per role (admin, developer, viewer). Geen IAM-users meer in productie.
Networking en transit
Transit Gateway voor cross-account-network. Centrale ingress en egress via netwerk-account met inspection (VPC Traffic Mirroring of Network Firewall). Voor NL-context: AWS PrivateLink standaard voor regulated workloads.
Verwant: Cloud consultant inhuren, AWS migratie stappenplan.