Verschachtelte Organisationseinheiten im AWS Control Tower

In diesem Kapitel werden die Erwartungen und Überlegungen aufgeführt, die Sie bei der Arbeit mit verschachtelten Organisationseinheiten in AWS Control Tower beachten sollten. In den meisten Fällen entspricht die Arbeit mit verschachtelten Organisationseinheiten der Arbeit mit einer flachen OU-Struktur. Die Funktionen „Registrieren“ und „Erneut registrieren“ funktionieren mit verschachtelten Organisationseinheiten, mit Ausnahme der geänderten Verhaltensweisen, auf die in diesem Kapitel eingegangen wird.

Video-Anleitung

In diesem Video (4:46) wird beschrieben, wie verschachtelte OU-Bereitstellungen in AWS Control Tower verwaltet werden. Wählen Sie zur besseren Ansicht das Symbol in der rechten unteren Ecke des Videos, um es in voller Bildschirmgröße anzuzeigen. Es stehen Untertitel zur Verfügung.

Anleitungen zu bewährten Methoden für verschachtelte Organisationseinheiten und Ihre landing zone finden Sie im Blogbeitrag Organizing your AWS Control Tower landing zone with Nested OUs.

Erweitern Sie von einer flachen OU-Struktur zu einer verschachtelten OU-Struktur

Wenn Sie Ihre AWS Control Tower Tower-Landezone mit einer flachen OU-Struktur erstellt haben, können Sie sie zu einer verschachtelten OU-Struktur erweitern.

Dieser Prozess besteht aus vier Hauptschritten:

Erstellen Sie die gewünschte verschachtelte OU-Struktur in AWS Control Tower.
Gehen Sie zur AWS Organizations Konsole und verwenden Sie deren Funktion zur Massenverschiebung, um die Konten von der Quell-OU (flach) in die Ziel-OU (verschachtelt) zu verschieben. So geht's:
1. Gehen Sie zu der Organisationseinheit, von der Sie Konten verschieben möchten.
2. Wählen Sie alle Konten in der Organisationseinheit aus.
3. Wählen Sie „Verschieben“.
  
  Anmerkung
  Dieser Schritt muss in der AWS Organizations In-Konsole ausgeführt werden, da AWS Control Tower keine Move-Funktion hat.
Gehen Sie zur verschachtelten Organisationseinheit in AWS Control Tower und registrieren Sie sie oder registrieren Sie sie erneut. Alle Konten in der verschachtelten Organisationseinheit werden registriert.
- Wenn Sie die OU in AWS Control Tower erstellt haben, registrieren Sie die OU erneut.
- Wenn Sie die OU in erstellt haben AWS Organizations, registrieren Sie die OU zum ersten Mal.
Nachdem Ihre Konten verschoben und registriert wurden, löschen Sie die leere Organisationseinheit der obersten Ebene, entweder von der AWS Organizations Konsole oder von der AWS Control Tower Tower-Konsole aus.

Vorabprüfungen für die Registrierung verschachtelter Organisationseinheiten

Um die erfolgreiche Registrierung Ihrer verschachtelten Organisationseinheiten und ihrer Mitgliedskonten zu unterstützen, führt AWS Control Tower eine Reihe von Vorabprüfungen durch. Dieselben Vorabprüfungen werden bei der Registrierung von Organisationseinheiten der obersten Ebene oder verschachtelten Organisationseinheiten durchgeführt. Weitere Informationen finden Sie unter Häufige Ursachen für Fehler bei der Registrierung oder erneuten Registrierung.

Wenn alle Vorabprüfungen erfolgreich sind, beginnt AWS Control Tower automatisch mit der Registrierung Ihrer Organisationseinheit.
Wenn irgendwelche Vorabprüfungen fehlschlagen, stoppt AWS Control Tower den Registrierungsprozess und stellt Ihnen eine Liste mit Problemen zur Verfügung, die behoben werden müssen, bevor Sie Ihre Organisationseinheit registrieren können.

Verschachtelte Organisationseinheiten und Rollen

AWS Control Tower stellt die AWSControlTowerExecution Rolle für Konten unter der Ziel-OU und für Konten in allen OUs bereit, die unter der Ziel-OU verschachtelt sind, auch wenn Sie nur die Ziel-OU registrieren möchten. Diese Rolle gewährt jedem Benutzer des Verwaltungskontos Administratorrechte für jedes Konto, das diese Rolle besitzt. AWSControlTowerExecution Die Rolle kann verwendet werden, um Aktionen auszuführen, die normalerweise von AWS Control Tower Controls nicht zugelassen würden.

Sie können diese Rolle aus nicht registrierten Konten löschen, die Sie nicht registrieren möchten. Wenn Sie diese Rolle löschen, können Sie das Konto nicht bei AWS Control Tower registrieren oder die unmittelbar übergeordneten Organisationseinheiten registrieren, es sei denn, Sie stellen die Rolle für das Konto wieder her. Um die AWSControlTowerExecution Rolle aus einem Konto zu löschen, müssen Sie unter der AWSControlTowerExecution Rolle angemeldet sein, da keine anderen IAM-Prinzipale Rollen löschen dürfen, die von AWS Control Tower verwaltet werden.

Informationen darüber, wie Sie den Rollenzugriff einschränken können, finden Sie unter Optionale Bedingungen für Ihre Rollenvertrauensbeziehungen.

Was passiert bei der Registrierung und erneuten Registrierung von verschachtelten Organisationseinheiten und Konten

Wenn Sie eine verschachtelte Organisationseinheit registrieren oder erneut registrieren, registriert AWS Control Tower alle nicht registrierten Konten der Ziel-OU und aktualisiert alle registrierten Konten. Folgendes können Sie erwarten.

AWS Control Tower führt die folgenden Aufgaben aus

Fügt die AWSControlTowerExecution Rolle allen nicht registrierten Konten unter dieser Organisationseinheit und allen nicht registrierten Konten in ihren verschachtelten Organisationseinheiten hinzu.
Registriert Mitgliedskonten, die nicht registriert sind.
Registrierte Mitgliedskonten werden erneut registriert.
Erstellt ein IAM Identity Center-Login für neu registrierte Mitgliedskonten.
Aktualisiert bestehende registrierte Mitgliedskonten, um Ihre Änderungen in der landing zone widerzuspiegeln.
Aktualisiert die Steuerelemente, die für diese Organisationseinheit und ihre Mitgliedskonten konfiguriert sind.

Überlegungen zur Registrierung verschachtelter Organisationseinheiten

Sie können eine Organisationseinheit nicht unter der Kernorganisationseinheit (Sicherheits-OU) registrieren.
Verschachtelte Organisationseinheiten müssen separat registriert werden.
Sie können eine Organisationseinheit nur registrieren, wenn ihre übergeordnete Organisationseinheit registriert ist.
Sie können eine Organisationseinheit nur registrieren, wenn alle Organisationseinheiten, die sich weiter oben in der Struktur befinden, zu einem bestimmten Zeitpunkt erfolgreich registriert wurden (einige wurden möglicherweise gelöscht).
Sie können eine Organisationseinheit registrieren, die sich unter einer geänderten höheren Organisationseinheit befindet, aber die Abweichung wird durch diese Aktion nicht behoben.

Einschränkungen verschachtelter Organisationseinheiten

Organisationseinheiten können maximal 5 Ebenen tief unter dem Stamm verschachtelt werden.
Verschachtelte Organisationseinheiten unter der Ziel-Organisationseinheit müssen separat registriert oder erneut registriert werden.
Wenn sich die Ziel-Organisationseinheit in der Hierarchie auf Stufe 2 oder darunter befindet, d. h. wenn es sich nicht um eine Organisationseinheit der obersten Ebene handelt, werden präventive Kontrollen, die für höhere Organisationseinheiten aktiviert sind, automatisch für diese Organisationseinheit und alle Organisationseinheiten unterhalb dieser Organisationseinheit durchgesetzt.
Fehler bei der Registrierung von Organisationseinheiten werden in der Hierarchiestruktur nicht nach oben übertragen. Einzelheiten zum Status verschachtelter Organisationseinheiten finden Sie auf der Seite mit den OU-Details der übergeordneten Organisationseinheit.
Fehler bei der Registrierung von Organisationseinheiten werden in der Hierarchiestruktur nicht nach unten übertragen.
AWS Control Tower ändert Ihre VPC-Einstellungen für neue oder bestehende Konten nicht.

Verschachtelte Organisationseinheiten und Konformität

Von der AWS Control Tower Tower-Konsole aus können Sie Organisationseinheiten und Konten, die nicht konform sind, auf der Seite Organisation anzeigen, sodass Sie die Einhaltung von Vorschriften in größerem Umfang nachvollziehen können.

Überlegungen zur Einhaltung von Vorschriften für verschachtelte Organisationseinheiten und Konten

Die Konformität einer Organisationseinheit wird nicht anhand der Konformität der ihr untergeordneten Organisationseinheiten bestimmt.
Der Konformitätsstatus eines Steuerelements wird für alle Organisationseinheiten berechnet, für die das Steuerelement aktiviert ist, einschließlich verschachtelter Organisationseinheiten. Sehen Sie sich den AWS Control Tower Tower-Compliance-Status für Organisationseinheiten und Konten an.
Eine Organisationseinheit wird nur dann als nicht konform angezeigt, wenn sie Konten hat, die nicht konform sind, unabhängig davon, wo sich die Organisationseinheit in der OU-Hierarchie befindet.
Wenn eine verschachtelte Organisationseinheit nicht konform ist, wird ihre übergeordnete Organisationseinheit nicht automatisch als nicht konform betrachtet.
Auf der Seite mit den OU-Details oder den Kontodetails können Sie eine Liste der nicht konformen Ressourcen einsehen, die möglicherweise dazu führen, dass Ihre Organisationseinheiten oder Konten den Status „Nicht konform“ aufweisen.

Verschachtelte Organisationseinheiten und Drift

In bestimmten Situationen kann Drift die Registrierung verschachtelter Organisationseinheiten verhindern.

Erwartungen an Drift- und verschachtelte Organisationseinheiten

Sie können Steuerungen für Organisationseinheiten mit abweichenden übergeordneten Organisationseinheiten aktivieren, jedoch nicht direkt für geänderte Organisationseinheiten.
In einer geänderten Organisationseinheit können Sie die detektivische Kontrolle aktivieren, sofern es sich nicht um eine geänderte Organisationseinheit der obersten Ebene handelt.
Obligatorische Kontrollen sind nur für Organisationseinheiten der obersten Ebene aktiviert. Obligatorische Kontrollen werden übersprungen, wenn Sie eine verschachtelte Organisationseinheit registrieren.
Ein obligatorisches Steuerelement schützt AWS Config Ressourcen. Daher muss sich dieses Steuerelement in einem unveränderlichen Zustand befinden, um verschachtelte Organisationseinheiten registrieren zu können. Bei Abweichung blockiert AWS Control Tower die Registrierung verschachtelter Organisationseinheiten.
Wenn sich die Organisationseinheit der obersten Ebene ändert, kann es sein, dass die Kontrolle, die AWS Config Ressourcen schützt, nicht stimmt. In dieser Situation blockiert AWS Control Tower alle Aktionen, die die Erstellung oder Aktualisierung von AWS Config Ressourcen erfordern, einschließlich der Anwendung von Detektivkontrollen.

Verschachtelte Organisationseinheiten und Kontrollen

Wenn Sie ein Steuerelement für eine registrierte Organisationseinheit aktivieren, verhalten sich präventive und detektive Kontrollen unterschiedlich. Bei verschachtelten Organisationseinheiten verhalten sich proaktive Kontrollen ähnlich wie detektive Kontrollen.

Präventive Kontrollen

Präventive Kontrollen werden für verschachtelte Organisationseinheiten durchgesetzt.
Obligatorische präventive Kontrollen werden für alle Konten der Organisationseinheit und ihrer verschachtelten Organisationseinheiten durchgesetzt.
Präventive Kontrollen wirken sich auf alle Konten und Organisationseinheiten aus, die unter der Ziel-OU verschachtelt sind, auch wenn diese Konten und Organisationseinheiten nicht registriert sind.

Detective und proaktive Kontrollen

Verschachtelte Organisationseinheiten übernehmen nicht automatisch detektive oder proaktive Kontrollen. Diese müssen separat aktiviert werden.
Detective und proaktive Kontrollen werden nur für registrierte Konten in den Betriebsregionen Ihrer Landezone eingesetzt.

Kontrollstatus und Vererbung aktiviert

Sie können die geerbten Steuerelemente für jede Organisationseinheit auf der Seite mit den OU-Details anzeigen.

Tipp

Sie können die Vererbung von Steuerelementen nutzen, um das SCP-Kontingent einer Organisationseinheit einzuhalten. Sie können beispielsweise ein Steuerelement auf der obersten Ebene einer OU-Hierarchie aktivieren, anstatt es direkt für eine verschachtelte Organisationseinheit zu aktivieren.

Vererbter Status

Der Status Vererbt gibt an, dass das Steuerelement nur durch Vererbung aktiviert wurde und nicht direkt auf die Organisationseinheit angewendet wurde.
Der Status Aktiviert bedeutet, dass die Steuerung in dieser Organisationseinheit durchgesetzt wird, unabhängig von ihrem Status in anderen Organisationseinheiten.
Der Status Fehlgeschlagen bedeutet, dass die Steuerung für diese Organisationseinheit nicht durchgesetzt wird, unabhängig von ihrem Status in anderen Organisationseinheiten.

Anmerkung

Der Status Vererbt gibt an, dass das Steuerelement auf eine Organisationseinheit angewendet wurde, die sich weiter oben in der Struktur befindet, und dass es auf dieser Organisationseinheit durchgesetzt wurde, dass es dieser Organisationseinheit jedoch nicht direkt hinzugefügt wurde.

Wenn Ihre landing zone nicht die aktuelle Version ist

Jede Zeile in der Tabelle mit aktivierten Steuerelementen steht für ein aktiviertes Steuerelement in einer einzelnen Organisationseinheit.

Verschachtelte Organisationseinheiten und das Stammverzeichnis

Das Stammverzeichnis ist keine Organisationseinheit und kann nicht registriert oder erneut registriert werden. Sie können Konten auch nicht direkt im Stammverzeichnis erstellen. Das Stammverzeichnis darf nicht konform sein oder einen Lebenszyklusstatus haben, wie z. B. registriert oder in Drift.

Das Stammverzeichnis ist jedoch der Container der obersten Ebene für alle Konten und Organisationseinheiten. Im Kontext verschachtelter Organisationseinheiten ist dies der Knoten, unter dem alle anderen Organisationseinheiten verschachtelt sind.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Erweitern der Governance auf eine bestehende Organisation

Registrieren Sie eine Organisationseinheit, um mehrere Konten zu registrieren