Ubicado OUs en la Torre de AWS Control - AWS Control Tower
Tutorial en vídeoAmpliación de una estructura de OU plana a una estructura de OU anidadaComprobaciones previas del registro de la OU anidadaAnidado y funciones OUs¿Qué ocurre durante el registro y la reinscripción de cuentas OUs anidadas y cuentasConsideraciones para el registro de OU anidadasLimitaciones de las OU anidadasAnidado OUs y cumplimientoOUsAnidados y a la derivaAnidado OUs y controlaAnidado OUs y raíz

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ubicado OUs en la Torre de AWS Control

En este capítulo se enumeran las expectativas y consideraciones que debes tener en cuenta cuando trabajes con Nested OUs in AWS Control Tower. En la mayoría de los casos, trabajar con unidades anidadas OUs es lo mismo que trabajar con una estructura de unidad organizativa plana. Las funciones Registrar y Reregistrar funcionan con sistemas anidadosOUs, excepto en lo que respecta a los cambios de comportamiento que se indican en este capítulo.

Tutorial en vídeo

Este vídeo (4:46) describe cómo administrar las implementaciones de unidades organizativas anidadas en la Torre AWS de Control. Para una mejor visualización, seleccione el icono situado en la esquina inferior derecha del vídeo para agrandarlo a pantalla completa. Hay subtítulos disponibles.

Para obtener orientación sobre las mejores prácticas para anidar OUs y tu zona de aterrizaje, consulta la entrada del blog Cómo organizar tu zona de aterrizaje de la Torre de AWS Control Tower con OUs anidada.

Ampliación de una estructura de OU plana a una estructura de OU anidada

Si creaste la zona de aterrizaje de la Torre de AWS Control con una estructura de OU plana, puedes expandirla hasta convertirla en una estructura de OU anidada.

El proceso consta de cuatro pasos principales:

  1. Cree la estructura OU anidada que desee en AWS Control Tower.

  2. Vaya a la AWS Organizations consola y utilice su función de movimiento masivo para mover las cuentas de la unidad organizativa de origen (plana) a la unidad organizativa de destino (anidada). El procedimiento es el siguiente:

    1. Vaya a la OU desde la que quiere mover las cuentas.

    2. Seleccione todas las cuentas de la OU.

    3. Seleccione Mover.

      nota

      Este paso debe realizarse en la AWS Organizations consola, ya que la Torre de AWS Control no tiene la función Move.

  3. Vaya a la unidad organizativa anidada en la Torre AWS de Control y regístrela o vuelva a registrarla. Se inscribirán todas las cuentas de la OU anidada.

    • Si creó la OU en AWS Control Tower, vuelva a registrarla.

    • Si creó la OU en AWS Organizations, regístrela por primera vez.

  4. Una vez que sus cuentas se hayan trasladado e inscrito, elimine la unidad organizativa de nivel superior vacía de la AWS Organizations consola o de la consola de la Torre de AWS Control Tower.

Comprobaciones previas del registro de la OU anidada

Para facilitar el registro de sus cuentas anidadas OUs y las de sus miembros, AWS Control Tower realiza una serie de comprobaciones previas. Estas mismas comprobaciones previas se realizan al registrar cualquier OU anidada u OU de nivel superior. Para obtener más información, consulte Common causes of failure during registration or re-registration.

  • Si se aprueban todas las comprobaciones previas, AWS Control Tower empezará a registrar su OU automáticamente.

  • Si alguna de las comprobaciones previas falla, AWS Control Tower detiene el proceso de registro y le proporciona una lista de los elementos que deben corregirse antes de que pueda registrar su OU.

Anidado y funciones OUs

AWSControl Tower despliega la AWSControlTowerExecution función en las cuentas de la OU de destino y en todas las cuentas OUs anidadas en la OU de destino, incluso cuando su intención es registrar únicamente la OU de destino. Este rol otorga permisos de administrador a cualquier usuario de la cuenta de administración en cualquier cuenta que tenga el rol AWSControlTowerExecution. El rol se puede usar para realizar acciones que normalmente no estarían permitidas por los controles de la Torre AWS de Control Tower.

Puede eliminar este rol de las cuentas no inscritas que no tenga previsto inscribir. Si eliminas esta función, no podrás inscribir la cuenta en AWS Control Tower ni registrar a la empresa matriz inmediataOUs, a menos que restaures la función a la cuenta. Para eliminar el AWSControlTowerExecution rol de una cuenta, debe iniciar sesión con el AWSControlTowerExecution rol, ya que ningún otro IAM director puede eliminar los roles administrados por AWS Control Tower.

Para obtener información sobre cómo restringir el acceso de los roles, consulte Optional conditions for your role trust relationships.

¿Qué ocurre durante el registro y la reinscripción de cuentas OUs anidadas y cuentas

Al registrar o volver a registrar una OU anidada, AWS Control Tower inscribe todas las cuentas no inscritas de la OU objetivo y actualiza todas las cuentas inscritas. Esto es lo que puede esperar.

AWSControl Tower realiza las siguientes tareas:

  • Agrega la AWSControlTowerExecution función a todas las cuentas no inscritas en esta OU y a todas las cuentas no inscritas en su anidada. OUs

  • Inscribe las cuentas miembro que no están inscritas.

  • Vuelve a inscribir las cuentas miembro inscritas.

  • Crea un inicio de sesión en el Centro de IAM Identidad para las cuentas de los miembros recién inscritos.

  • Actualiza las actuales cuentas miembro inscritas para reflejar los cambios en la zona de aterrizaje.

  • Actualiza los controles configurados para esta OU y sus cuentas miembro.

Consideraciones para el registro de OU anidadas

  • No puede registrar una OU en la OU principal (OU de seguridad).

  • Nested OUs debe registrarse por separado.

  • No puede registrar una OU a menos que su OU principal esté registrada.

  • No puede registrar una unidad organizativa a menos que todas las posiciones OUs superiores del árbol se hayan registrado correctamente en algún momento (es posible que algunas se hayan eliminado).

  • Puede registrar una OU que esté por debajo de una OU superior desviada, pero esa acción no reparará la desviación.

Limitaciones de las OU anidadas

  • OUspuede estar anidada a un máximo de 5 niveles de profundidad por debajo de la raíz.

  • Las unidades organizativas OUs anidadas en la unidad organizativa objetivo deben registrarse o volver a registrarse por separado.

  • Si la unidad organizativa objetivo se encuentra en el nivel 2 o inferior de la jerarquía, es decir, si no es una unidad organizativa de nivel superior, los controles preventivos activados en un nivel superior OUs se aplican automáticamente a esta unidad organizativa y OUs a todas las que están por debajo de ella.

  • Los errores de registro de la OU no se propagan hacia arriba en el árbol jerárquico. Puede ver los detalles sobre el estado de las unidades organizativas anidadas OUs en la página de detalles de la unidad organizativa principal.

  • Los errores de registro de la OU no se propagan hacia abajo en el árbol jerárquico.

  • AWSControl Tower no modifica la VPC configuración de ninguna cuenta nueva o existente.

Anidado OUs y cumplimiento

Desde la consola de AWS Control Tower, puede ver OUs las cuentas que no cumplen con las normas en la página de la organización, de forma que pueda comprender el cumplimiento a mayor escala.

Consideraciones sobre el cumplimiento de las cuentas anidadas y OUs las cuentas

  • El cumplimiento de una OU no se determina en función del cumplimiento de las unidades OUs anidadas en ella.

  • El estado de conformidad de un control se calcula sobre todas las áreas OUs en las que el control está activado, incluidas las OUs anidadas. Consulte AWSel estado de cumplimiento OUs y las cuentas de Control Tower.

  • Una OU se muestra como no conforme únicamente si tiene cuentas que no lo son, independientemente del lugar en que se encuentre la OU en la jerarquía de la OU.

  • Si una OU anidada no es compatible, la OU principal no se considera automáticamente no conforme.

  • En la página de detalles de la unidad organizativa o de detalles de la cuenta, puede ver una lista de los recursos no conformes que pueden estar provocando que su cuenta OUs o su cuenta muestren un estado de incumplimiento.

OUsAnidados y a la deriva

En determinadas situaciones, la deriva puede impedir el registro de los OUs anidados.

Expectativas de deriva y anidado OUs

  • Puede activar los controles con los padres que están a la deriva, pero no OUs con los padres que están a la deriva OUs directamente.

  • Puede activar los controles de detección en una OU desviada, siempre que no sea una OU desviada de nivel superior.

  • Los controles obligatorios solo están activados en el nivel superiorOUs. Los controles obligatorios se omiten al registrar una OU anidada.

  • Un control obligatorio protege AWS Config los recursos; por lo tanto, ese control debe estar en un estado no desviado para poder registrarse anidado. OUs Si se desvía, la Torre AWS de Control bloquea el registro de los OUs anidados.

  • Si la unidad organizativa de nivel superior está a la deriva, es posible que el control que protege AWS Config los recursos esté a la deriva. En esta situación, la Torre de AWS Control bloquea cualquier acción que requiera la creación o actualización de AWS Config recursos, incluida la aplicación de controles de detección.

Anidado OUs y controla

Cuando habilita un control en una OU registrada, los controles preventivos y de detección se comportan de forma diferente. En el caso de los controles anidadosOUs, los controles proactivos se comportan de forma similar a los controles de detección.

Controles preventivos

  • Los controles preventivos se aplican en los OUs anidados.

  • Los controles preventivos obligatorios se aplican a todas las cuentas incluidas en la OU y a las cuentas anidadas. OUs

  • Los controles preventivos afectan a todas las cuentas y OUs se agrupan en la OU de destino, incluso si esas cuentas no OUs están registradas.

Controles proactivos y de detección

  • Los anidados OUs no heredan automáticamente los controles de detección o proactivos; estos deben habilitarse por separado.

  • Los controles de detección y proactivos se implementan únicamente en las cuentas registradas en las regiones operativas de su zona de aterrizaje.

Estados de control habilitados y la herencia

Puede ver los controles heredados de cada OU en la página Detalles de la unidad organizativa.

sugerencia

Puede utilizar la herencia de controles para mantenerse dentro de la cuota de una unidad organizativa. SCP Por ejemplo, puede habilitar un control en la OU de nivel superior de una jerarquía de OU, en lugar de habilitarlo directamente para una OU anidada.

Estado heredado

  • El estado Heredado indica que el control está habilitado únicamente por herencia y no se ha aplicado directamente a la OU.

  • El estado Activado significa que el control se aplica a esta unidad organizativa, independientemente del estado en que se encuentre en las demásOUs.

  • El estado Fallido significa que el control no se aplica a esta unidad organizativa, independientemente del estado en que se encuentre en las demásOUs.

nota

El estado Heredado indica que el control se aplicó a una OU situada más arriba en el árbol y se aplica a esta OU, pero no se añadió directamente a esta OU.

Si la zona de aterrizaje no es la versión actual

Cada fila de la tabla Controles habilitados representa un control habilitado en una OU individual.

Anidado OUs y raíz

La raíz no es una OU y no se puede registrar ni volver a registrar. Tampoco se pueden crear cuentas directamente en la raíz. La raíz no puede ser incompatible ni tener un estado de ciclo de vida, por ejemplo, registrado o en desviación.

Sin embargo, la raíz es el contenedor de nivel superior para todas las cuentas y. OUs En el contexto de anidadoOUs, es el nodo en el que se anidan todos los demásOUs.