Voraussetzung: Automatisierte Prüfungen für Ihr Verwaltungskonto vor dem Start - AWS Control Tower
Überlegungen für Kunden von AWS IAM Identity Center (IAM Identity Center)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Voraussetzung: Automatisierte Prüfungen für Ihr Verwaltungskonto vor dem Start

Bevor AWS Control Tower die landing zone einrichtet, führt er automatisch eine Reihe von Prüfungen vor dem Start in Ihrem Konto durch. Für diese Überprüfungen sind keine Maßnahmen Ihrerseits erforderlich. Sie stellen sicher, dass Ihr Verwaltungskonto für die Änderungen bereit ist, mit denen Ihre landing zone eingerichtet wird. Hier sind die Prüfungen, die AWS Control Tower vor der Einrichtung einer landing zone durchführt:

  • Die bestehenden Service-Limits für AWS-Konto müssen ausreichen, damit AWS Control Tower gestartet werden kann. Weitere Informationen finden Sie unter Einschränkungen und Kontingente in AWS Control Tower.

  • Sie AWS-Konto müssen die folgenden AWS Services abonniert haben:

    • Amazon Simple Storage Service (Amazon-S3)

    • Amazon Elastic Compute Cloud (Amazon EC2)

    • Amazon SNS

    • Amazon Virtual Private Cloud (Amazon VPC)

    • AWS CloudFormation

    • AWS CloudTrail

    • Amazon CloudWatch

    • AWS Config

    • AWS Identity and Access Management (ICH BIN)

    • AWS Lambda

    Anmerkung

    Standardmäßig haben alle Konten diese Services abonniert.

Überlegungen für Kunden von AWS IAM Identity Center (IAM Identity Center)

  • Wenn AWS IAM Identity Center (IAM Identity Center) bereits eingerichtet ist, muss die AWS Control Tower Tower-Heimatregion mit der IAM Identity Center-Region identisch sein.

  • IAM Identity Center kann nur im Verwaltungskonto einer Organisation installiert werden.

  • Für Ihr IAM Identity Center-Verzeichnis gelten je nach der von Ihnen ausgewählten Identitätsquelle drei Optionen:

    • IAM Identity Center-Benutzerspeicher: Wenn AWS Control Tower mit IAM Identity Center eingerichtet ist, erstellt AWS Control Tower Gruppen im IAM Identity Center-Verzeichnis und gewährt dem von Ihnen ausgewählten Benutzer Zugriff auf diese Gruppen für Mitgliedskonten.

    • Active Directory: Wenn IAM Identity Center für AWS Control Tower mit Active Directory eingerichtet ist, verwaltet AWS Control Tower das IAM Identity Center-Verzeichnis nicht. Es weist neuen AWS Konten keine Benutzer oder Gruppen zu.

    • Externer Identitätsanbieter: Wenn IAM Identity Center for AWS Control Tower mit einem externen Identitätsanbieter (IdP) eingerichtet ist, erstellt AWS Control Tower Gruppen im IAM Identity Center-Verzeichnis und gewährt dem Benutzer, den Sie für Mitgliedskonten auswählen, Zugriff auf diese Gruppen. Sie können bei der Kontoerstellung in Account Factory einen vorhandenen Benutzer von Ihrem externen IdP angeben. AWS Control Tower gewährt diesem Benutzer Zugriff auf das neu verkaufte Konto, wenn Benutzer mit demselben Namen zwischen IAM Identity Center und dem externen IdP synchronisiert werden. Sie können auch Gruppen in Ihrem externen IdP erstellen, die den Namen der Standardgruppen in AWS Control Tower entsprechen. Wenn Sie diesen Gruppen Benutzer zuweisen, haben diese Benutzer Zugriff auf Ihre registrierten Konten.

    Weitere Informationen zur Arbeit mit IAM Identity Center und AWS Control Tower finden Sie unter Wissenswertes über IAM Identity Center-Konten und AWS Control Tower

Überlegungen für AWS Config Kunden AWS CloudTrail

  • Der vertrauenswürdige Zugriff AWS-Konto kann im Organisationsverwaltungskonto für nicht aktiviert sein AWS Config. Informationen zum Deaktivieren des vertrauenswürdigen Zugriffs finden Sie in der AWS Organizations Dokumentation zum Aktivieren oder Deaktivieren des vertrauenswürdigen Zugriffs.

  • Wenn Sie in bestehenden Konten, die Sie bei AWS Control Tower registrieren möchten, über einen vorhandenen AWS Config Recorder, einen Bereitstellungskanal oder eine Aggregationseinrichtung verfügen, müssen Sie diese Konfigurationen ändern oder entfernen, bevor Sie mit der Registrierung der Konten beginnen, nachdem Ihre landing zone eingerichtet wurde. Diese Vorabprüfung gilt nicht für das AWS Control Tower Tower-Managementkonto beim Start der landing zone. Weitere Informationen finden Sie unter Konten registrieren, die über vorhandene AWS Config Ressourcen verfügen.

  • Wenn Sie kurzlebige Workloads von Konten in AWS Control Tower aus ausführen, stellen Sie möglicherweise einen Anstieg der mit Config verbundenen Kosten fest. AWS Wenden Sie sich an Ihren AWS Kundenbetreuer, um genauere Informationen zur Verwaltung dieser Kosten zu erhalten.

  • Wenn Sie ein Konto bei AWS Control Tower registrieren, unterliegt Ihr Konto dem AWS CloudTrail Pfad für die AWS Control Tower Tower-Organisation. Wenn Sie bereits über eine Bereitstellung eines CloudTrail Trails in Ihrem Konto verfügen, werden möglicherweise doppelte Gebühren angezeigt, es sei denn, Sie löschen den vorhandenen Trail für das Konto, bevor Sie ihn bei AWS Control Tower registrieren. Informationen zu Trails auf Organisationsebene und AWS Control Tower finden Sie unter. Preisgestaltung

Anmerkung

Beim Start müssen AWS Security Token Service (STS) -Endpunkte im Verwaltungskonto für alle Regionen aktiviert werden, die von AWS Control Tower verwaltet werden. Andernfalls kann der Start während des Konfigurationsprozesses fehlschlagen.