Si administra recursos fuera de la Torre de Control de AWS - AWS Control Tower
Hacer referencia a recursos ajenos a la Torre de Control de AWSCambiar externamente los nombres de los recursos de la Torre de Control de AWSEliminar la unidad organizativa de seguridadEliminar una cuenta de la OU de seguridadCambios externos que se actualizan automáticamente

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Si administra recursos fuera de la Torre de Control de AWS

AWS Control Tower configura cuentas, unidades organizativas y otros recursos en su nombre, pero usted es el propietario de estos recursos. Puede cambiar estos recursos dentro o fuera de la Torre de Control de AWS. El lugar más común para cambiar los recursos fuera de la Torre de Control de AWS es la AWS Organizations consola. En este tema se describe cómo conciliar los cambios en los recursos de la Torre de Control de AWS cuando los realiza fuera de la Torre de Control de AWS.

Si se cambia el nombre, se eliminan y se mueven recursos fuera de la consola de la Torre de Control Tower de AWS, la consola deja de estar sincronizada. Muchos cambios se pueden conciliar automáticamente. Algunos cambios requieren restablecer la zona de aterrizaje para actualizar la información que se muestra en la consola de la Torre de Control de AWS.

En general, los cambios que realice fuera de la consola de la Torre de Control de AWS en los recursos de la Torre de Control de AWS crean un estado de deriva solucionable en su landing zone. Para obtener más información sobre estos cambios, consulte Cambios reparables en los recursos.

Tareas que requieren restablecer la zona de aterrizaje

  • Eliminar la unidad organizativa de seguridad (un caso especial, que no debe hacerse a la ligera).

  • Eliminar una cuenta compartida de la unidad organizativa de seguridad (no se recomienda).

  • Actualizar, adjuntar o separar un SCP asociado a la OU de seguridad.

Cambios que AWS Control Tower actualiza automáticamente

  • Cambiar la dirección de correo electrónico de una cuenta inscrita

  • Cambiar el nombre de una cuenta registrada

  • Crear una nueva unidad organizativa (OU) de nivel superior

  • Cambiar el nombre de una OU registrada

  • Eliminar una unidad organizativa registrada (excepto la unidad organizativa de seguridad, que requiere una actualización).

  • Eliminar una cuenta inscrita (excepto una cuenta compartida en la OU de seguridad)

nota

AWS Service Catalog gestiona los cambios de forma diferente a AWS Control Tower. AWS Service Catalog puede provocar un cambio en la postura de gobierno al conciliar sus cambios. Para obtener más información sobre la actualización de un producto aprovisionado, consulte Actualización de productos aprovisionados en la documentación. AWS Service Catalog

Hacer referencia a recursos ajenos a la Torre de Control de AWS

Cuando crea nuevas unidades organizativas y cuentas fuera de la Torre de Control de AWS, no se rigen por la Torre de Control de AWS, aunque se muestren.

Crear una unidad organizativa

Las unidades organizativas (OU) creadas fuera de la Torre de Control de AWS se denominan No registradas. Se muestran en la página de la organización, pero no se rigen por los controles de la Torre de Control de AWS.

Creación de una cuenta

Las cuentas creadas fuera de la Torre de Control de AWS se denominan no inscritas. Las cuentas inscritas y no inscritas que pertenecen a una OU registrada en AWS Control Tower se muestran en la página de la organización. Se puede invitar a las cuentas que no pertenezcan a una OU registrada desde la AWS Organizations consola. Esta invitación a unirse no inscribe la cuenta en la Torre de Control de AWS ni extiende la gobernanza de la Torre de Control de AWS a la cuenta. Para ampliar la gobernanza mediante la inscripción de la cuenta, vaya a la página de la organización o a la página de detalles de la cuenta en AWS Control Tower y seleccione Inscribir cuenta.

Cambiar externamente los nombres de los recursos de la Torre de Control de AWS

Puede cambiar los nombres de sus unidades organizativas (OU) y cuentas fuera de la consola de AWS Control Tower, y la consola se actualizará automáticamente para reflejar esos cambios.

Cambiar el nombre de una unidad organizativa

En AWS Organizations, puede cambiar el nombre de una OU mediante la AWS Organizations API o la consola. Cuando cambia el nombre de una unidad organizativa fuera de la Torre de Control de AWS, la consola de la Torre de Control de AWS refleja automáticamente el cambio de nombre. Sin embargo, si aprovisiona sus cuentas mediante AWS Service Catalog, también debe restablecer su landing zone para garantizar que AWS Control Tower mantenga la coherencia AWS Organizations. El flujo de trabajo Reset garantiza la coherencia entre los servicios de las unidades organizativas fundamentales y adicionales. Puedes resolver este tipo de desviación desde la página de configuración de la zona de aterrizaje. Consulta la sección llamada «Resolver la deriva» enDetecta y resuelve desviaciones en la Torre AWS de Control.

AWS Control Tower muestra los nombres de las unidades organizativas en la página de la organización del panel de control de AWS Control Tower. Puedes ver si la operación de restablecimiento de tu zona de landing zone se ha realizado correctamente.

Cambiar el nombre de una cuenta registrada

Cada AWS cuenta tiene un nombre para mostrar que el usuario raíz de la cuenta puede cambiar en la AWS Billing and Cost Management consola. Al cambiar el nombre de una cuenta que está inscrita en AWS Control Tower, el cambio de nombre se refleja automáticamente en AWS Control Tower. Para obtener más información sobre cómo cambiar el nombre de una cuenta, consulte Administrar una AWS cuenta en la Guía del usuario de AWS facturación.

Eliminar la unidad organizativa de seguridad

Este tipo de desviación es un caso especial. Si eliminas la unidad organizativa de seguridad, verás una página con un mensaje de error que te pedirá que restablezcas tu landing zone. Debe restablecer su landing zone antes de poder realizar cualquier otra acción en AWS Control Tower.

  • No podrá realizar ninguna acción en la consola de AWS Control Tower ni podrá crear cuentas nuevas AWS Service Catalog hasta que se haya restablecido.

  • No podrá ver la página de configuración de la zona de destino para ver allí el botón de restablecimiento.

En esta situación, el proceso de restablecimiento de la zona de landing zone crea una nueva unidad organizativa de seguridad y mueve las dos cuentas compartidas a la nueva unidad organizativa de seguridad. AWS Control Tower marca las cuentas de archivo de registros y auditoría como desviadas. El mismo proceso resuelve la desviación de estas cuentas.

Si decide que debe eliminar la unidad organizativa de seguridad, debe saber lo siguiente:

Antes de poder eliminar la unidad organizativa de seguridad, debe asegurarse de que no contiene cuentas. En concreto, debe eliminar el archivo de registro y las cuentas de auditoría de la OU. Le recomendamos que mueva estas cuentas a otra unidad organizativa.

nota

La acción de eliminar su unidad organizativa de seguridad no debe realizarse sin la debida consideración. La acción podría generar problemas de conformidad si el registro se suspende temporalmente y porque es posible que algunos controles no se apliquen.

Para obtener información general acerca de la desviación, consulte «Resolving Drift (Resolver desviación)» en Detecta y resuelve desviaciones en la Torre AWS de Control.

Eliminar una cuenta de la OU de seguridad

No se recomienda eliminar ninguna de las cuentas compartidas de su organización ni sacarlas de la OU de seguridad. Si ha eliminado una cuenta compartida de forma accidental, puede seguir los pasos de corrección de esta sección para restaurarla.

  • Desde la consola de AWS Control Tower: para iniciar el proceso de corrección, siga los pasos de corrección semimanuales. Asegúrese de que el usuario o el rol que utiliza para acceder a la consola de la Torre de Control de AWS tenga permisos de ejecuciónorganizations:InviteAccountToOrganization. Si no dispone de dichos permisos, siga los pasos de corrección manuales, que utilizan tanto la consola de la Torre de Control de AWS como la AWS Organizations consola.

  • Empezar desde la AWS Organizations consola: este proceso de corrección es un procedimiento un poco más largo y totalmente manual. Cuando siga los pasos de corrección manuales, cambiará entre la AWS Organizations consola y la consola de la Torre de Control de AWS. Cuando trabaje en AWS Organizations ella, necesitará un usuario o un rol con la política AWSOrganizationsFullAccess administrada o equivalente. Cuando trabaje en la consola de la Torre de Control de AWS, necesitará un usuario o rol con la política AWSControlTowerServiceRolePolicy administrada o equivalente, y permiso para ejecutar todas las acciones de la Torre de Control de AWS (controltower: *).

  • Si las medidas correctivas no restauran la cuenta, póngase en contacto con nosotros. AWS Support

Los resultados de eliminar una cuenta compartida mediante AWS Organizations:

  • La cuenta ya no está protegida por los controles obligatorios de la Torre de Control de AWS con políticas de control de servicios (SCP). Resultado: es posible que los recursos creados por AWS Control Tower en la cuenta se modifiquen o eliminen.

  • La cuenta ya no forma parte de la cuenta AWS Organizations de administración. Resultado: el administrador de la cuenta de AWS Organizations administración ya no puede ver los gastos de la cuenta.

  • Ya no se garantiza que la cuenta esté supervisada por AWS Config. Resultado: es posible que el administrador de la cuenta de AWS Organizations administración no pueda detectar los cambios en los recursos.

  • La cuenta ya no está en la organización. Resultado: las actualizaciones y el restablecimiento de AWS Control Tower fallarán.

Para restaurar una cuenta compartida mediante la consola de la Torre de Control de AWS (procedimiento semimanual)

  1. Inicie sesión en la consola de AWS Control Tower en https://console.aws.amazon.com/controltower. Debe iniciar sesión como usuario de IAM, usuario del Centro de Identidad de IAM o con un rol con permisos para poder ejecutarse. organizations:InviteAccountToOrganization Si no dispone de dichos permisos, utilice el procedimiento de corrección manual que se describe más adelante en este tema.

  2. En la página detectada por un desvío en la zona de destino, selecciona Volver a invitar para corregir la eliminación de la cuenta compartida y volver a invitar a la cuenta compartida a la organización. Se envía un correo electrónico generado automáticamente a la dirección de correo electrónico de la cuenta.

  3. Acepta la invitación para volver a incorporar la cuenta compartida a la organización. Realice una de las acciones siguientes:

    • Inicia sesión en la cuenta compartida que se eliminó y, a continuación, ve a https://console.aws.amazon.com/organizations/home#/invites

    • Si tienes acceso al mensaje de correo electrónico enviado al volver a invitar a la cuenta, inicia sesión en la cuenta eliminada y, a continuación, haz clic en el enlace del mensaje para ir directamente a la invitación a la cuenta.

    • Si la cuenta compartida que se ha eliminado no pertenece a otra organización, inicia sesión en la cuenta, abre la AWS Organizations consola y ve a Invitaciones.

  4. Vuelva a iniciar sesión en la cuenta de administración o vuelva a cargar la consola de AWS Control Tower si ya está abierta. Verá la página de distribución de la zona de destino. Selecciona Restablecer para reparar la landing zone.

  5. Espere a que se complete el proceso de restablecimiento.

Si la corrección se realiza correctamente, la cuenta compartida aparecerá en un estado normal y en conformidad con las normas.

Si los pasos de corrección no restauran la cuenta, ponte en contacto con nosotros. AWS Support

Para restaurar una cuenta compartida mediante la Torre de Control Tower y AWS Organizations las consolas de AWS (corrección manual)

  1. Inicie sesión en la AWS Organizations consola enhttps://console.aws.amazon.com/organizations/. Debe iniciar sesión como usuario de IAM, usuario del Centro de Identidad de IAM o con un rol con la política AWSOrganizationsFullAccess gestionada o equivalente.

  2. Vuelva a invitar a la cuenta compartida a la organización. Para obtener información sobre los requisitos, los requisitos previos y el procedimiento para invitar una cuenta a una organización AWS Organizations, consulte Invitar una AWS cuenta a su organización en la Guía del AWS Organizations usuario.

  3. Inicie sesión en la cuenta compartida que se eliminó y, a continuación, vaya a https://console.aws.amazon.com/organizations/home#/invites para aceptar la invitación.

  4. Vuelva a iniciar sesión en la cuenta de administración.

  5. Inicie sesión en la consola de la Torre de Control de AWS como usuario o rol con la política AWSControlTowerServiceRolePolicy administrada o equivalente y permisos para ejecutar todas las acciones de la Torre de Control de AWS (controltower: *).

  6. Verás la página de deriva de la zona de aterrizaje con una opción para restablecer la zona de aterrizaje. Selecciona Restablecer para reparar la landing zone.

  7. Espere a que se complete el proceso de restablecimiento.

Si la corrección se realiza correctamente, la cuenta compartida aparecerá en un estado normal y en conformidad con las normas.

Si los pasos de corrección no restauran la cuenta, ponte en contacto con nosotros. AWS Support

Cambios externos que se actualizan automáticamente

AWS Control Tower actualiza automáticamente los cambios que realice en las direcciones de correo electrónico de su cuenta, pero Account Factory no los actualiza automáticamente.

Cambiar la dirección de correo electrónico de una cuenta gobernada

AWS Control Tower recupera y muestra las direcciones de correo electrónico según lo requiera la experiencia de la consola. Por lo tanto, las direcciones de correo electrónico compartidas y de otras cuentas se actualizan y se muestran de forma coherente en AWS Control Tower después de cambiarlas.

nota

En AWS Service Catalog, Account Factory muestra los parámetros que se especificaron en la consola al crear un producto aprovisionado. Sin embargo, la dirección de correo electrónico de la cuenta original no se actualiza automáticamente cuando cambia la dirección de correo electrónico de la cuenta. Esto se debe a que la cuenta está conceptualmente contenida en el producto aprovisionado; no es la misma que el producto aprovisionado. Para actualizar este valor, debe actualizar el producto aprovisionado, lo que puede provocar un cambio en la gestión.

Aplicar reglas externas AWS Config

La Torre de Control de AWS muestra el estado de conformidad de todas AWS Config las reglas implementadas en las unidades organizativas registradas en la Torre de Control de AWS, incluidas las reglas que se activaron fuera de la consola de la Torre de Control de AWS.

Eliminar recursos de la Torre de Control de AWS fuera de la Torre de Control de AWS

Puede eliminar unidades organizativas y cuentas en AWS Control Tower y no necesita realizar ninguna otra acción para ver las actualizaciones. Account Factory se actualiza automáticamente al eliminar una OU, pero no al eliminar una cuenta.

Eliminar una unidad organizativa registrada (excepto la unidad organizativa de seguridad)

En AWS Organizations ella, puedes eliminar las unidades organizativas (OU) vacías mediante la API o la consola. Las unidades organizativas que contienen cuentas no se pueden eliminar.

AWS Control Tower recibe una notificación AWS Organizations cuando se elimina una unidad organizativa. Actualiza la lista de unidades organizativas en Account Factory para que la lista de unidades organizativas registradas siga siendo coherente.

nota

En AWS Service Catalog, Account Factory se actualiza para eliminar la OU eliminada de la lista de OU disponibles en las que puede aprovisionar una cuenta.

Eliminación de una cuenta inscrita de una unidad organizativa

Al eliminar una cuenta inscrita, AWS Control Tower recibe una notificación y realiza actualizaciones para que la información siga siendo coherente.

nota

En AWS Service Catalog, el producto aprovisionado por Account Factory que representa la cuenta gobernada no se actualiza para eliminar la cuenta. En su lugar, el producto aprovisionado se muestra como TAINTED y en un estado de error. Para limpiar, vaya a AWS Service Catalog, elija el producto aprovisionado y, a continuación, elija Terminate (Terminar).