OU raíz

Si eliges el método de despliegue scp orcp, al agregar Root underorganizational_units, AWS Control Tower aplica las políticas a todos los que OUs están bajo Root. Si eliges el método de despliegue destack_set, al añadir Root underorganizational_units, cFCT desplegará los conjuntos de pilas en todas las cuentas de Root que estén inscritas en AWS Control Tower, excepto en la cuenta de administración.

Según las mejores prácticas de AWS Control Tower, la cuenta de administración está destinada únicamente a administrar las cuentas de los miembros y a efectos de facturación. No ejecute cargas de trabajo de producción en la cuenta de administración AWS de la Torre de Control.

De acuerdo con la guía de mejores prácticas, la implementación de la Torre de AWS Control coloca la cuenta de administración en la OU raíz, de modo que tenga acceso completo y no ejecute recursos adicionales. Por este motivo, la AWSControlTowerExecutionfunción no se implementa en la cuenta de administración.

Recomendamos que siga estas prácticas recomendadas para la cuenta de administración. Si tiene un caso de uso específico que requiere implementar conjuntos de pilas en la cuenta de administración, incluya cuentas como destino de implementación y especifique la cuenta de administración. De lo contrario, no incluya cuentas como destino de implementación. Debe crear los recursos que faltan, incluidas las IAM funciones necesarias, en la cuenta de administración.