Einsatz AWS Control Tower in einer AWS Landing Zone-Organisation - AWS Präskriptive Leitlinien
Registrierung vorhandener AWS Konten AWS Control Tower bei einer bestehenden OrganisationAWS Konten aus einer bestehenden Organisation in eine neue Organisation AWS Control Tower eintragen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einsatz AWS Control Tower in einer AWS Landing Zone-Organisation

In diesem Szenario werden die Schritte beschrieben, die bei der Bereitstellung AWS Control Tower in einer AWS Organizations Organisation erforderlich sind, in der derzeit die AWS Landing Zone-Lösung ausgeführt wird.

  1. Stellen Sie sicher, dass Sie zwei neue Konten erstellen können, ohne die aktuellen Dienstkontingente zu überschreiten. Beantragen Sie bei Bedarf eine Erhöhung der Servicequote. Die neuen Konten werden im Rahmen der AWS Control Tower Bereitstellung bereitgestellt, es sei denn, Sie verwenden bestehende Konten aus der landing zone, die Sie für die AWS Landing Zone verwendet haben.

  2. Wenn Sie es derzeit verwenden AWS IAM Identity Center, stellen Sie es AWS Control Tower in derselben AWS Region bereit, in der IAM Identity Center konfiguriert ist.

  3. Wählen Sie in der AWS Organizations Konsole die Option Vertrauenswürdigen Zugriff für AWS Config AWS CloudTrail Dienste deaktivieren aus, sofern diese aktiviert sind. Weitere Informationen finden Sie in der AWS -Dokumentation.

  4. Bereitstellen AWS Control Tower. Weitere Informationen finden Sie in der AWS -Dokumentation.

Folgendes erwartet Sie, wenn Sie Ihre AWS Control Tower landing zone in einer bestehenden Organisation einrichten.

  • Sie können in jeder AWS Organizations Organisation eine landing zone haben.

  • AWS Control Tower verwendet das Verwaltungskonto Ihrer bestehenden AWS Organizations Organisation als Verwaltungskonto. Es ist kein neues Verwaltungskonto erforderlich.

  • AWS Control Tower richtet zwei neue Konten in einer registrierten Sicherheitsorganisationseinheit ein: ein Auditkonto und ein Protokollarchivkonto, sofern Sie bei der Einrichtung keine vorhandenen Konten verwenden. Wenn Sie bestehende Konten verwenden, verschiebt AWS Control Tower das Audit- und das Protokollarchivkonto unter die Organisationseinheit, die Sie bei der AWS Control Tower Bereitstellung erstellt haben.

  • Die Servicekontingenten Ihrer Organisation müssen für die Erstellung dieser beiden zusätzlichen Konten ausreichend sein.

  • Nach dem Start gelten die AWS Control Tower Guardrails automatisch für Konten in dieser Organisationseinheit.

  • Sie können weitere bestehende AWS Konten in einer Organisationseinheit registrieren, für die die Verwaltung gilt AWS Control Tower, sodass für diese Konten Schutzmaßnahmen gelten.

Wenn Sie bereits bestehende AWS Konten oder OUs Konten registrieren möchten, AWS Control Tower nachdem diese eingerichtet wurden, finden Sie weitere Informationen im Abschnitt Registrierung vorhandener AWS Konten AWS Control Tower bei einer bestehenden Organisation des Leitfadens.

Registrierung vorhandener AWS Konten AWS Control Tower bei einer bestehenden Organisation

Sie können die AWS Control Tower Verwaltung auf ein einzelnes, vorhandenes AWS Konto ausweiten, wenn Sie es in einer Organisationseinheit (OU) registrieren, die bereits verwaltet wird von. AWS Control Tower In Frage kommende Konten existieren in nicht registrierten KontenOUs, die Teil derselben AWS Organizations Organisation wie die AWS Control Tower Organisationseinheit sind.

Sie können eine Organisationseinheit AWS Control Tower von der AWS Control Tower Konsole aus registrieren. Wenn Sie eine Organisationseinheit registrieren, AWS Control Tower werden alle Konten unter der Organisationseinheit registriert. AWS Control Tower

Wir empfehlen, eine Organisationseinheit zu registrieren, anstatt einzelne Konten zu registrieren. Der Vorteil dieses Ansatzes besteht darin, dass sich die OU-ID nicht ändert. Wenn Sie Richtlinien oder Regeln haben, die die OU-ID verwenden, müssen Sie keine Änderungen vornehmen.

Bevor Sie AWS Konten bei registrieren AWS Control Tower, löschen Sie die AWS CloudFormation Stack-Instances aus dem genannten AWS-Landing-Zone-Baseline-EnableConfig Stack-Set. In jedem Konto, das Sie registrieren möchten, in jeder AWS Region, in der AWS Control Tower es bereitgestellt wird, müssen Sie die AWS-Landing-Zone-Baseline-EnableConfig Stack-Instance löschen. Da das Löschen des kompletten Stack-Sets einige Zeit in Anspruch nimmt, empfehlen wir, die Stack-Instances nur für die Konten zu löschen, die Sie registrieren. Im Idealfall sollte das Löschen der Stack-Instances für ein bestimmtes Konto dazu führen, dass der AWS Config Rekorder und der Bereitstellungskanal gelöscht werden. Sie können den Löschvorgang überprüfen, indem Sie die folgenden Befehle für dieses Konto ausführen.


      aws configservice describe-configuration-recorders --region <region_name>     
      aws configservice describe-delivery-channels --region <region_name>

Verwenden Sie die Funktion „Organisationseinheit AWS Control Tower registrieren“ von der AWS Control Tower Konsole aus

Bevor Sie eine gesamte Organisationseinheit registrieren, die bereits AWS Konten hat, stellen Sie sicher, dass Sie Folgendes tun:

  • Löschen Sie, wie bereits erwähnt, den AWS Config Rekorder und den Bereitstellungskanal aus allen Regionen aller Konten unter dieser Organisationseinheit.

Weitere Informationen finden Sie unter Registrieren einer vorhandenen Organisationseinheit bei AWS Control Tower.

Nachdem ein Konto registriert wurde AWS Control Tower, sehen Sie im Service Catalog ein weiteres bereitgestelltes Produkt für das Konto, das Sie registriert haben. Dem Namen des bereitgestellten Produkts wird das Präfix Enroll- vorangestellt. Das bedeutet, dass Sie jetzt zwei bereitgestellte Produkte in Service Catalog für ein einziges Konto haben:

  • Ein bereitgestelltes Produkt vom Verkaufsautomaten für das AWS Landing Zone-Konto

  • Ein bereitgestelltes Produkt aus der Registrierung bis AWS Control Tower

Sie haben die Möglichkeit, das bereitgestellte Produkt für ein Konto von AWS Landing Zone zu kündigen. Wir empfehlen jedoch, dass Sie bis zum Abschluss der Umstellung warten.

Wenn Sie das bereitgestellte Produkt für Konten kündigen, die in der AWS Landing Zone-Umgebung verkauft wurden, beginnt der Terminate Vorgang mit dem Löschen der zugehörigen AWS CloudFormation Baseline-Stack-Sets, die Sie möglicherweise behalten möchten. Vergewissern Sie sich, dass Sie die Baseline-Stack-Sets in manifest.yaml analysieren und sich mit den Auswirkungen des Löschens der Stack-Sets vertraut machen. Wenn Sie Ressourcen in den Stack-Sets haben, die Sie behalten möchten, vermeiden Sie es, das bereitgestellte Produkt zu löschen. Bei teilweisem Löschen wird das bereitgestellte Produkt in der Service Catalog-Konsole in den Status Tainted versetzt.

Alternativ können Sie das bereitgestellte Produkt behalten, das von Account Vending Machine from AWS Landing Zone erstellt wurde.

AWS Konten aus einer bestehenden Organisation in eine neue Organisation AWS Control Tower eintragen

Möglicherweise möchten Sie die Bereitstellung AWS Control Tower in einer neuen AWS Organizations Organisation durchführen. Gehen Sie wie folgt vor, um die Einrichtung AWS Control Tower in einer neuen Organisation durchzuführen:

  1. Erstellen Sie ein neues AWS Konto.

  2. Stellen Sie es AWS Control Tower im neu erstellten Konto bereit.

  3. Informationen zur Migration eines AWS Kontos von einer bestehenden Organisation zu der neuen Organisation, in der Sie das System bereitgestellt haben AWS Control Tower, finden Sie in den Anweisungen. Es ist wichtig, dass Sie alle Aspekte des Kontozugriffs, der Abrechnung, der Lizenzierung und der Steuern, die behandelt werden, genau durchlesen und verstehen.

  4. Informationen zum Prozess der Migration von AWS Konten zwischen Organisationen finden Sie im Blogbeitrag Migration von Konten zwischen Konten AWS Organizations mit konsolidierter Fakturierung zu allen Funktionen.

  5. Beginnen Sie mit der Registrierung des Kontos in AWS . AWS Control Tower Informationen zur Registrierung finden Sie im Abschnitt Registrierung vorhandener AWS Konten AWS Control Tower bei einer bestehenden Organisation.