Voraussetzung: Automatisierte Vorab-Startprüfungen für Ihr Verwaltungskonto - AWS Control Tower
Überlegungen für AWS IAM Identity Center (IAM Identity Center)-Kunden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Voraussetzung: Automatisierte Vorab-Startprüfungen für Ihr Verwaltungskonto

Bevor AWS Control Tower die Landing Zone einrichtet, führt es automatisch eine Reihe von Vorabprüfungen in Ihrem Konto durch. Für diese Prüfungen sind von Ihrer Seite keine Maßnahmen erforderlich, die sicherstellen, dass Ihr Verwaltungskonto für die Änderungen bereit ist, die Ihre Landing Zone einrichten. Hier sind die Prüfungen, die AWS Control Tower vor der Einrichtung einer Landing Zone ausführt:

  • Die vorhandenen Service-Limits für das AWS-Konto müssen ausreichend sein, damit AWS Control Tower gestartet werden kann. Weitere Informationen finden Sie unter Einschränkungen und Kontingente in AWS Control Tower.

  • Der AWS-Konto muss die folgenden AWS Services abonniert haben:

    • Amazon Simple Storage Service (Amazon S3)

    • Amazon Elastic Compute Cloud (Amazon EC2)

    • Amazon SNS

    • Amazon Virtual Private Cloud (Amazon VPC)

    • AWS CloudFormation

    • AWS CloudTrail

    • Amazon CloudWatch

    • AWS Config

    • AWS Identity and Access Management (IAM)

    • AWS Lambda

    Anmerkung

    Standardmäßig haben alle Konten diese Services abonniert.

Überlegungen für AWS IAM Identity Center (IAM Identity Center)-Kunden

  • Wenn AWS IAM Identity Center (IAM Identity Center) bereits eingerichtet ist, muss die Heimatregion des AWS Control Tower mit der Region des IAM Identity Center übereinstimmen.

  • IAM Identity Center kann nur im Verwaltungskonto einer Organisation installiert werden.

  • Für Ihr IAM-Identity-Center-Verzeichnis gelten drei Optionen, basierend auf der von Ihnen ausgewählten Identitätsquelle:

    • IAM Identity Center User Store: Wenn AWS Control Tower mit IAM Identity Center eingerichtet ist, erstellt AWS Control Tower Gruppen im IAM Identity Center-Verzeichnis und stellt den Zugriff auf diese Gruppen für den von Ihnen ausgewählten Benutzer für Mitgliedskonten bereit.

    • Active Directory : Wenn IAM Identity Center für AWS Control Tower mit Active Directory eingerichtet ist, verwaltet AWS Control Tower das IAM Identity Center-Verzeichnis nicht. Es weist keine Benutzer oder Gruppen neuen AWS Konten zu.

    • Externer Identitätsanbieter: Wenn IAM Identity Center für AWS Control Tower mit einem externen Identitätsanbieter (IdP) eingerichtet ist, erstellt AWS Control Tower Gruppen im IAM Identity Center-Verzeichnis und stellt den Zugriff auf diese Gruppen für den Benutzer bereit, den Sie für Mitgliedskonten auswählen. Sie können bei der Kontoerstellung einen vorhandenen Benutzer aus Ihrem externen IdP in Account Factory angeben, und AWS Control Tower gibt diesem Benutzer Zugriff auf das neu verkaufte Konto, wenn es Benutzer mit demselben Namen zwischen IAM Identity Center und dem externen IdP synchronisiert. Sie können auch Gruppen in Ihrem externen IdP erstellen, die den Namen der Standardgruppen in AWS Control Tower entsprechen. Wenn Sie diesen Gruppen Benutzer zuweisen, haben diese Benutzer Zugriff auf Ihre registrierten Konten.

    Weitere Informationen zum Arbeiten mit IAM Identity Center und AWS Control Tower finden Sie unter . Wissenswertes über IAM Identity Center-Konten und AWS Control Tower

Überlegungen für AWS Config - und - AWS CloudTrail Kunden

  • Für das AWS-Konto kann der vertrauenswürdige Zugriff im Organisationsverwaltungskonto für AWS Config oder nicht aktiviert sein CloudTrail. Informationen zum Deaktivieren des vertrauenswürdigen Zugriffs finden Sie in der AWS Organizations Dokumentation zum Aktivieren oder Deaktivieren des vertrauenswürdigen Zugriffs.

  • Wenn Sie bereits über einen AWS Config Recorder, einen Übermittlungskanal oder eine Aggregationseinrichtung in vorhandenen Konten verfügen, die Sie bei AWS Control Tower registrieren möchten, müssen Sie diese Konfigurationen ändern oder entfernen, bevor Sie mit der Registrierung der Konten beginnen, nachdem Ihre Landing Zone eingerichtet wurde. Diese Vorabprüfung gilt nicht für das AWS Control Tower-Verwaltungskonto beim Start der Landing Zone. Weitere Informationen finden Sie unter Registrieren von Konten mit vorhandenen AWS Config Ressourcen.

  • Wenn Sie kurzlebige Workloads von Konten in AWS Control Tower ausführen, können die mit AWS Config verbundenen Kosten steigen. Wenden Sie sich an Ihren - AWS Kundenbetreuer, um spezifischere Informationen zur Verwaltung dieser Kosten zu erhalten.

  • Wenn Sie ein Konto bei AWS Control Tower registrieren, wird Ihr Konto durch den AWS CloudTrail Trail für die AWS Control Tower-Organisation geregelt. Wenn Sie bereits eine Bereitstellung eines CloudTrail Trails im Konto haben, werden möglicherweise doppelte Gebühren angezeigt, es sei denn, Sie löschen den vorhandenen Trail für das Konto, bevor Sie ihn in AWS Control Tower registrieren. Informationen zu Trails auf Organisationsebene und AWS Control Tower finden Sie unter Preisgestaltung.

Anmerkung

Beim Start müssen AWS Security Token Service (STS)-Endpunkte im Verwaltungskonto für alle Regionen aktiviert werden, die von AWS Control Tower verwaltet werden. Andernfalls kann der Start während des Konfigurationsprozesses fehlschlagen.