AWS Landing Zone on käsite, joka tarkoittaa hyvin suunniteltua, skaalautuvaa ja turvallista monitiliympäristöä isoille ja myös pienemmille organisaatioille, jotka operoivat useita AWS-tilejä. Landing Zonen rakentamiseen ei ole yhtä oikeaa tapaa vaan yleensä ratkaisu suunnitellaan organisaation tarpeiden mukaan. Yleensä Landing Zoneen kuuluvat vähintään seuraavat osa-alueet:

- Sovellusten ja työkuormien hallinnollinen eriyttäminen (ajoympäristöt)

• Yksi AWS-tili / sovellus / ympäristö.
• Least privilege -periaatteen noudattaminen tiimeille. Tiimillä on pääsyt vain niille AWS-tileille, joiden kanssa he työskentelevät.

- Tietoturvakontrollien eriyttäminen

• Eri tileillä tai tiliryhmillä voi olla erilaiset tietoturvakontrollit, esimerkiksi tuotantotileille voi olla rajatummat oikeudet kun kehitysympäristön tileille.
• Tietoturvariskien rajaaminen onnistuu helpoiten tilikohtaisella eriyttämisellä.
• AWS-tili on vahvasti eristetty muista AWS-tileistä automaattisesti.

- Tietovarantojen eristäminen

• Sensitiivisten tietovarantojen eristäminen omalle AWS-tilille mahdollistaa vahvan kontrollin siihen kuka tietoihin pääsee käsiksi.

- Laskutuksen kohdentaminen

• Isossa organisaatiossa AWS-laskutuksen kohdentaminen sovellus- tai ympäristökohtaisesti on tärkeää. Jos sovellus on omalla AWS-tilillään tämä on helpompaa.

AWS Control Tower on AWS:n tarjoama managed service -ratkaisu Landing Zonen rakentamiseen. Control Tower luo AWS:n parhaiden käytäntöjen mukaisen Landing Zone -ympäristön, jossa perusasiat kuten tietoturvakontrollit ovat oletusarvoisesti kunnossa. Control Tower rakentaa monitiliympäristön AWS Organizations -palvelun päälle, joka mahdollistaa tilien jakamisen organisaatioyksikköihin tarpeen mukaan. Tämä mahdollistaa erilaisten policyjen ja AWS-resurssien automaattisen luonnin automaattisesti joko organisaation kaikille tileille tai valinnaisesti organisaatioyksiköille. Control Tower ottaa myös haluttaessa automaattisesti käyttöön muita AWS-organisaatioiden hallintaan käytettäviä tuotteita kuten Single Sign On -kirjautumisen IAM Identity Center -palvelun kautta. Tärkeät tietoturvaan liittyvät lokit ja hälytykset kerätään keskitetysti mm. CloudTrail, Config ja Guard Duty palveluista. Uusien AWS-tilien luonti ja perustason konfigurointi tapahtuu Control Tower Account Factory -toiminnallisuuden kautta. Tämä helpottaa tilien luontia, ja tilien luonti on myös automatisoitavissa Account Factoryn kautta.

Control Towerin käyttöönotto on suositeltavaa heti kun organisaatiolla on käytössään useampi AWS-tili, joita halutaan hallita keskitetysti.