Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Organizations Anleitung
AWS Control Tower ist eng mit verbunden AWS Organizations. Im Folgenden finden Sie einige spezifische Hinweise dazu, wie sie am besten zusammenarbeiten, um Ihre AWS Umgebung zu schützen.
In der AWS Organizations Dokumentation finden Sie Hinweise zu bewährten Methoden zum Schutz der Sicherheit Ihres AWS Control Tower Tower-Verwaltungskontos und Ihrer Mitgliedskonten.
-
Aktualisieren Sie keine bestehenden Service Control-Richtlinien (SCPs), die an eine OU angehängt sind, die bei AWS Control Tower registriert ist. Dies könnte dazu führen, dass die Kontrollen in einen unbekannten Zustand übergehen, sodass Sie Ihre landing zone zurücksetzen oder Ihre Organisationseinheit erneut im AWS Control Tower registrieren müssen. Stattdessen können AWS Organizations Sie neue erstellen SCPs und diese an das anhängen, OUs anstatt das zu bearbeiten SCPs , was AWS Control Tower erstellt hat.
-
Das Verschieben einzelner, bereits registrierter Konten von außerhalb einer registrierten Organisationseinheit in den AWS Control Tower führt zu Abweichungen, die behoben werden müssen. Siehe Arten von Abweichungen in der Unternehmensführung.
-
Wenn Sie AWS Organizations Konten innerhalb einer Organisation erstellen, einladen oder verschieben, die bei AWS Control Tower registriert ist, werden diese Konten nicht von AWS Control Tower registriert und diese Änderungen werden nicht aufgezeichnet. Wenn Sie über SSO Zugriff auf diese Konten benötigen, finden Sie weitere Informationen unter Zugriff auf Mitgliedskonten
. -
Wenn Sie AWS Organizations früher eine Organisationseinheit in eine von AWS Control Tower erstellte Organisation verschieben, wird die externe Organisationseinheit nicht von AWS Control Tower registriert.
-
AWS Control Tower handhabt die Rechtefilterung anders als AWS Organizations bisher. Wenn Ihre Konten mit AWS Control Tower Account Factory bereitgestellt werden, können Endbenutzer die Namen und Eltern aller Konten OUs in der AWS Control Tower Tower-Konsole sehen, auch wenn sie nicht berechtigt sind, diese Namen und Eltern direkt abzurufen. AWS Organizations
-
AWS Control Tower unterstützt keine gemischten Berechtigungen für Organisationen, wie z. B. die Erlaubnis, die übergeordnete Organisationseinheit einer Organisationseinheit anzuzeigen, aber nicht die Namen von Organisationseinheiten einzusehen. Aus diesem Grund wird von AWS Control Tower Tower-Administratoren erwartet, dass sie über volle Berechtigungen verfügen.
-
Das AWS Organizations
FullAWSAccessSCP muss angewendet werden und darf nicht mit anderen SCPs zusammengeführt werden. Änderungen an diesem SCP werden nicht als Abweichung gemeldet. Einige Änderungen können jedoch die Funktionalität von AWS Control Tower auf unvorhersehbare Weise beeinträchtigen, wenn der Zugriff auf bestimmte Ressourcen verweigert wird. Wenn der SCP beispielsweise getrennt oder geändert wird, kann ein Konto den Zugriff auf einen AWS Config Rekorder verlieren oder eine Lücke in CloudTrail der Protokollierung entstehen. -
Verwenden Sie die AWS Organizations
DisableAWSServiceAccessAPI nicht, um den AWS Control Tower Tower-Servicezugriff auf die Organisation zu deaktivieren, in der Sie Ihre landing zone eingerichtet haben. Wenn Sie dies tun, funktionieren bestimmte Funktionen zur Erkennung von Drift in AWS Control Tower möglicherweise nicht richtig, wenn Sie keine Messaging-Unterstützung von erhalten AWS Organizations. Diese Funktionen zur Erkennung von Abweichungen tragen dazu bei, dass AWS Control Tower den Compliance-Status der Organisationseinheiten, Konten und Kontrollen in Ihrem Unternehmen genau melden kann. Weitere Informationen finden Sie unter API_DisableAWSServiceAccess in der AWS Organizations API-Referenz.
