Requisito previo: comprobaciones automáticas previas al lanzamiento de la cuenta de administración - AWS Control Tower
Consideraciones para clientes de AWS IAM Identity Center (IAM Identity Center)

Requisito previo: comprobaciones automáticas previas al lanzamiento de la cuenta de administración

Antes de que AWS Control Tower configure la zona de aterrizaje, ejecuta una serie de comprobaciones automáticas previas al lanzamiento en su cuenta. No se requiere ninguna acción por su parte para estas verificaciones, que garantizan que la cuenta de administración esté lista para las modificaciones que establecen su zona de aterrizaje. Estas son las comprobaciones que AWS Control Tower ejecuta antes de configurar una zona de aterrizaje:

  • Los límites del servicio existentes para la Cuenta de AWS deben ser suficientes para lanzar AWS Control Tower. Para obtener más información, consulte Limitaciones y cuotas en AWS Control Tower.

  • La Cuenta de AWS debe estar suscrita a los siguientes servicios de AWS:

    • Amazon Simple Storage Service (Amazon S3)

    • Amazon Elastic Compute Cloud (Amazon EC2)

    • Amazon SNS

    • Amazon Virtual Private Cloud (Amazon VPC)

    • AWS CloudFormation

    • AWS CloudTrail

    • Amazon CloudWatch

    • AWS Config

    • AWS Identity and Access Management (IAM)

    • AWS Lambda

    nota

    De forma predeterminada, todas las cuentas están suscritas a estos servicios.

Consideraciones para clientes de AWS IAM Identity Center (IAM Identity Center)

  • Si AWS IAM Identity Center (IAM Identity Center) ya está configurado, la región de origen de AWS Control Tower debe ser la misma que la región del IAM Identity Center.

  • IAM Identity Center solo se puede instalar en la cuenta de administración de una organización.

  • Hay tres opciones disponibles para el directorio de IAM Identity Center, en función del origen de identidad que elija:

    • Registro de usuarios del IAM Identity Center: si AWS Control Tower está configurado con IAM Identity Center, AWS Control Tower crea grupos en el directorio de IAM Identity Center y brinda acceso a estos grupos, para el usuario que seleccione, para las cuentas de los miembros.

    • Active Directory: si IAM Identity Center para AWS Control Tower está configurado con Active Directory, AWS Control Tower no administra el directorio de IAM Identity Center. No asigna usuarios ni grupos a cuentas nuevas de AWS.

    • Proveedor de identidad externo: si IAM Identity Center para AWS Control Tower está configurado con un proveedor de identidad (IdP) externo, AWS Control Tower crea grupos en el directorio de IAM Identity Center y brinda acceso a estos grupos para el usuario que seleccione para las cuentas de los miembros. Puede especificar un usuario existente de su IdP externo en el generador de cuentas durante la creación de la cuenta, y AWS Control Tower le otorga a este usuario acceso a la cuenta recién ofrecida cuando sincroniza los usuarios del mismo nombre entre IAM Identity Center y el IdP externo. También puede crear grupos en su IdP externo para que coincidan con los nombres de los grupos predeterminados de AWS Control Tower. Al asignar usuarios a estos grupos, estos usuarios tendrán acceso a sus cuentas inscritas.

    Para obtener más información sobre el uso de IAM Identity Center y AWS Control Tower, consulte Cuestiones que debe saber acerca de las cuentas del IAM Identity Center y AWS Control Tower

Consideraciones para los clientes de AWS Config y AWS CloudTrail

  • La Cuenta de AWS no puede tener habilitado el acceso de confianza en la cuenta de administración de la organización para AWS Config o CloudTrail. Para obtener más información sobre cómo deshabilitar el acceso de confianza, consulte la documentación de AWS Organizations sobre cómo habilitar o deshabilitar el acceso de confianza

  • Si tiene una configuración existente de registrador, canal de entrega o agregación de AWS Config en alguna de las cuentas existentes que tiene previsto inscribir en AWS Control Tower, debe modificar o eliminar estas configuraciones antes de empezar a inscribir las cuentas, después de configurar su zona de aterrizaje. Esta comprobación previa no se aplica a la cuenta de administración de AWS Control Tower durante el lanzamiento de la zona de aterrizaje. Para obtener más información, consulte Inscripción de cuentas con recursos de AWS Config existentes.

  • Si ejecuta cargas de trabajo efímeras desde cuentas de AWS Control Tower, es posible que observe un aumento en los costes asociados a AWS Config. Póngase en contacto con su representante de cuentas de AWS para obtener información más específica sobre la administración de estos costes.

  • Cuando inscribe una cuenta en AWS Control Tower, esta se rige por el registro de seguimiento de AWS CloudTrail de la organización de AWS Control Tower. Si ya tiene una implementación de un registro de seguimiento de CloudTrail en la cuenta, es posible que vea cargos duplicados, a menos que elimine el registro de seguimiento existente de la cuenta antes de inscribirlo en AWS Control Tower. Para obtener información sobre registros de seguimiento por organización y AWS Control Tower, consulte Precios.

nota

Al lanzarse, los puntos de conexión de AWS Security Token Service (STS) deben estar activados en la cuenta de administración en todas las regiones gobernadas por AWS Control Tower. De lo contrario, el lanzamiento puede generar un error a mitad del proceso de configuración.