Unidades organizativas anidadas en la Torre de Control de AWS - AWS Control Tower
Tutorial en vídeoPase de una estructura de unidad organizativa plana a una estructura de unidad organizativa anidadaVerificaciones previas del registro de la OU anidadaFunciones y unidades organizativas anidadas¿Qué ocurre durante el registro y la reinscripción de unidades organizativas y cuentas anidadasConsideraciones para el registro de unidades organizativas anidadasLimitaciones de la OU anidadaUnidades organizativas anidadas y conformidadUnidades organizativas anidadas y derivasControles y unidades organizativas anidadosLas unidades organizativas anidadas y la raíz

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Unidades organizativas anidadas en la Torre de Control de AWS

En este capítulo se enumeran las expectativas y consideraciones que debe tener en cuenta al trabajar con unidades organizativas anidadas en AWS Control Tower. En la mayoría de los casos, trabajar con unidades organizativas anidadas es lo mismo que trabajar con una estructura de unidad organizativa plana. Las funciones de registro y reregistro funcionan con unidades organizativas anidadas, excepto en lo que respecta a los cambios de comportamiento que se indican en este capítulo.

Tutorial en vídeo

Este vídeo (4:46) describe cómo administrar las implementaciones de unidades organizativas anidadas en AWS Control Tower. Para una mejor visualización, seleccione el icono situado en la esquina inferior derecha del vídeo para agrandarlo a pantalla completa. Hay subtítulos disponibles.

Para obtener orientación sobre las prácticas recomendadas para las unidades organizativas anidadas y su zona de aterrizaje, consulte la entrada del blog Cómo organizar la zona de aterrizaje de la Torre de Control Tower de AWS con unidades organizativas anidadas.

Pase de una estructura de unidad organizativa plana a una estructura de unidad organizativa anidada

Si creó la zona de aterrizaje de la Torre de Control Tower de AWS con una estructura de unidad organizativa plana, puede ampliarla para convertirla en una estructura de unidad organizativa anidada.

Este proceso consta de cuatro pasos principales:

  1. Cree la estructura de unidades organizativas anidada que desee en AWS Control Tower.

  2. Vaya a la AWS Organizations consola y utilice su función de movimiento masivo para mover las cuentas de la unidad organizativa de origen (plana) a la unidad organizativa de destino (anidada). A continuación se explica cómo:

    1. Diríjase a la OU desde la que desea transferir las cuentas.

    2. Seleccione todas las cuentas de la OU.

    3. Seleccione Mover.

      nota

      Este paso debe realizarse en la AWS Organizations consola, ya que AWS Control Tower no tiene la función Move.

  3. Vaya a la unidad organizativa anidada en la Torre de Control de AWS y regístrela o vuelva a registrarla. Se inscribirán todas las cuentas de la OU anidada.

    • Si creó la OU en AWS Control Tower, vuelva a registrarla.

    • Si creó la unidad organizativa en AWS Organizations, regístrela por primera vez.

  4. Una vez que sus cuentas se hayan trasladado e inscrito, elimine la unidad organizativa de nivel superior vacía de la AWS Organizations consola o de la consola de la Torre de Control de AWS.

Verificaciones previas del registro de la OU anidada

Para respaldar el registro correcto de sus unidades organizativas anidadas y sus cuentas de miembros, AWS Control Tower realiza una serie de comprobaciones previas. Estas mismas comprobaciones previas se realizan al registrar cualquier OU anidada o unidad organizativa de nivel superior. Para obtener más información, consulte Causas comunes de error durante el registro o la reinscripción.

  • Si se aprueban todas las comprobaciones previas, AWS Control Tower empezará a registrar su OU automáticamente.

  • Si alguna de las comprobaciones previas falla, AWS Control Tower detiene el proceso de registro y le proporciona una lista de los elementos que deben corregirse antes de que pueda registrar su OU.

Funciones y unidades organizativas anidadas

AWS Control Tower implementa la AWSControlTowerExecution función en las cuentas de la OU de destino y en las cuentas de todas las OU anidadas en la OU de destino, incluso cuando su intención es registrar únicamente la OU de destino. Esta función otorga a cualquier usuario de la cuenta de administración permisos de administrador en cualquier cuenta que tenga esa función. AWSControlTowerExecution El rol se puede usar para realizar acciones que normalmente no estarían permitidas por los controles de la Torre de Control de AWS.

Puede eliminar este rol de las cuentas no inscritas que no tenga previsto inscribir. Si elimina esta función, no podrá inscribir la cuenta en AWS Control Tower ni registrar las unidades organizativas principales inmediatas, a menos que restablezca la función en la cuenta. Para eliminar el AWSControlTowerExecution rol de una cuenta, debe iniciar sesión con el AWSControlTowerExecution rol, ya que ningún otro responsable de IAM puede eliminar los roles administrados por AWS Control Tower.

Para obtener información sobre cómo restringir el acceso a los roles, consulte las condiciones opcionales de las relaciones de confianza de sus roles.

¿Qué ocurre durante el registro y la reinscripción de unidades organizativas y cuentas anidadas

Al registrar o volver a registrar una unidad organizativa anidada, AWS Control Tower inscribe todas las cuentas no inscritas de la unidad organizativa de destino y actualiza todas las cuentas inscritas. Esto es lo que puede esperar.

AWS Control Tower realiza las siguientes tareas

  • Añade la AWSControlTowerExecution función a todas las cuentas no inscritas en esta OU y a todas las cuentas no inscritas en sus OU anidadas.

  • Inscribe las cuentas de los miembros que no están inscritas.

  • Vuelve a inscribir las cuentas de los miembros inscritos.

  • Crea un inicio de sesión en el IAM Identity Center para las cuentas de los miembros recién inscritos.

  • Actualiza las cuentas de los miembros inscritos existentes para reflejar tus cambios de landing zone.

  • Actualiza los controles configurados para esta OU y sus cuentas de miembros.

Consideraciones para el registro de unidades organizativas anidadas

  • No puede registrar una unidad organizativa en la unidad organizativa principal (unidad organizativa de seguridad).

  • Las unidades organizativas anidadas deben registrarse por separado.

  • No puede registrar una unidad organizativa a menos que su unidad organizativa principal esté registrada.

  • No puede registrar una unidad organizativa a menos que todas las unidades organizativas situadas más arriba en el árbol se hayan registrado correctamente en algún momento (es posible que algunas se hayan eliminado).

  • Puede registrar una unidad organizativa que esté por debajo de una unidad organizativa superior que esté a la deriva, pero esa acción no reparará la desviación.

Limitaciones de la OU anidada

  • Las unidades organizativas pueden estar anidadas a un máximo de 5 niveles de profundidad por debajo de la raíz.

  • Las unidades organizativas anidadas en la unidad organizativa de destino se deben registrar o volver a registrar por separado.

  • Si la unidad organizativa de destino se encuentra en el nivel 2 o inferior de la jerarquía, es decir, si no es una unidad organizativa de nivel superior, los controles preventivos activados en las unidades organizativas superiores se aplican automáticamente a esta unidad organizativa y a todas las unidades organizativas inferiores.

  • Los errores de registro de la OU no se propagan hacia arriba en el árbol jerárquico. Puede ver los detalles sobre los estados de las unidades organizativas anidadas en la página de detalles de la unidad organizativa principal.

  • Los errores de registro de la OU no se propagan hacia abajo en el árbol jerárquico.

  • AWS Control Tower no modifica la configuración de la VPC de ninguna cuenta nueva o existente.

Unidades organizativas anidadas y conformidad

Desde la consola de AWS Control Tower, puede ver las unidades organizativas y las cuentas que no cumplen con las normas en la página de la organización, de forma que pueda comprender el cumplimiento a mayor escala.

Consideraciones sobre la conformidad de las unidades organizativas y las cuentas anidadas

  • La conformidad de una unidad organizativa no se determina en función de la conformidad de las unidades organizativas integradas en ella.

  • El estado de conformidad de un control se calcula en todas las unidades organizativas en las que está activado el control, incluidas las unidades organizativas anidadas. Consulte el estado de conformidad de AWS Control Tower para las unidades organizativas y las cuentas w.

  • Una OU se muestra como no conforme solo si tiene cuentas que no lo son, independientemente del lugar en que se encuentre la OU en la jerarquía de la OU.

  • Si una unidad organizativa anidada no es compatible, su unidad organizativa principal no se considera automáticamente no conforme.

  • En la página de detalles de la unidad organizativa o de detalles de la cuenta, puede ver una lista de los recursos no conformes que pueden estar provocando que sus unidades organizativas o cuentas muestren un estado no conforme.

Unidades organizativas anidadas y derivas

En determinadas situaciones, la desviación puede impedir el registro de unidades organizativas anidadas.

Expectativas en cuanto a la deriva y las unidades organizativas anidadas

  • Puede activar los controles en las unidades organizativas con padres desviados, pero no directamente en las unidades organizativas desviadas.

  • Puede activar los controles de detección en una unidad organizativa desviada, siempre que no sea una unidad organizativa desviada de nivel superior.

  • Los controles obligatorios solo están activados en las unidades organizativas de nivel superior. Los controles obligatorios se omiten al registrar una unidad organizativa anidada.

  • Un control obligatorio protege AWS Config los recursos; por lo tanto, ese control debe estar en un estado no variable para registrar las unidades organizativas anidadas. Si se desvía, la Torre de Control de AWS bloquea el registro de las unidades organizativas anidadas.

  • Si la unidad organizativa de nivel superior está a la deriva, es posible que el control que protege AWS Config los recursos lo esté haciendo. En esta situación, AWS Control Tower bloquea cualquier acción que requiera la creación o actualización de AWS Config recursos, incluida la aplicación de controles de detección.

Controles y unidades organizativas anidados

Cuando se activa un control en una unidad organizativa registrada, los controles preventivos y de detección se comportan de forma diferente. En el caso de las unidades organizativas anidadas, los controles proactivos se comportan de forma similar a los controles de detección.

Controles preventivos

  • Los controles preventivos se aplican en las unidades organizativas anidadas.

  • Los controles preventivos obligatorios se aplican a todas las cuentas incluidas en la OU y sus OU anidadas.

  • Los controles preventivos afectan a todas las cuentas y unidades organizativas incluidas en la unidad organizativa de destino, incluso si esas cuentas y unidades organizativas no están registradas.

Controles proactivos y de detección

  • Las unidades organizativas anidadas no heredan automáticamente los controles de detección o proactivos; estos deben habilitarse por separado.

  • Los controles proactivos y de detección se implementan solo en las cuentas registradas en las regiones operativas de su zona de aterrizaje.

Se habilitan los estados de control y la herencia

Puede ver los controles heredados de cada unidad organizativa en la página de detalles de la unidad organizativa.

sugerencia

Puede utilizar la herencia de controles para mantenerse dentro de la cuota de SCP de una OU. Por ejemplo, puede habilitar un control en la unidad organizativa de nivel superior de una jerarquía de unidades organizativas, en lugar de habilitarlo directamente para una unidad organizativa anidada.

Estado heredado

  • El estado Heredado indica que el control está habilitado únicamente por herencia y no se ha aplicado directamente a la unidad organizativa.

  • El estado Activado significa que el control se aplica a esta unidad organizativa, independientemente del estado en que se encuentre en otras unidades organizativas.

  • El estado Fallido significa que el control no se aplica a esta unidad organizativa, independientemente del estado en que se encuentre en otras unidades organizativas.

nota

El estado Heredado indica que el control se aplicó a una unidad organizativa situada más arriba en el árbol y se aplica a esta unidad organizativa, pero no se agregó directamente a esta unidad organizativa.

Si tu landing zone no es la versión actual

Cada fila de la tabla de controles habilitados representa un control habilitado en una unidad organizativa individual.

Las unidades organizativas anidadas y la raíz

La raíz no es una unidad organizativa y no se puede registrar ni volver a registrar. Tampoco puedes crear cuentas directamente en la raíz. La raíz no puede ser no compatible ni tener un estado de ciclo de vida, como registrado o desplazado.

Sin embargo, la raíz es el contenedor de nivel superior de todas las cuentas y unidades organizativas. En el contexto de las unidades organizativas anidadas, es el nodo en el que se anidan todas las demás unidades organizativas.