AWS Organizations orientación - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Organizations orientación

AWS Control Tower está estrechamente relacionada con AWS Organizations. A continuación, encontrará una guía específica sobre la mejor manera de trabajar juntos para proteger su AWS entorno.

  • Puede encontrar orientación sobre las prácticas recomendadas para proteger la seguridad de su cuenta de administración de AWS Control Tower y las cuentas de los miembros en la AWS Organizations documentación.

  • No actualice las políticas de control de servicios existentes (SCPs) adjuntas a una OU que esté registrada en AWS Control Tower. Si lo hace, los controles podrían pasar a un estado desconocido, de modo que tendrá que restablecer su zona de aterrizaje o volver a registrar su OU en AWS Control Tower. En su lugar, puede AWS Organizations utilizarlos para crear nuevos SCPs y adjuntarlos a ellos, OUs en lugar de editar los SCPs que ha creado AWS Control Tower.

  • Mover cuentas individuales ya inscritas a AWS Control Tower, desde fuera de una unidad organizativa registrada provoca un error que debe resolverse. Consulte Tipos de gobernanza: deriva.

  • Si AWS Organizations solía crear, invitar o mover cuentas dentro de una organización registrada en AWS Control Tower, AWS Control Tower no inscribe esas cuentas y esos cambios no se registran. Si necesita acceso a estas cuentas a través de SSO, consulte la página en la que se describe el acceso a cuentas miembro.

  • Si solía trasladar una OU AWS Organizations a una organización creada por AWS Control Tower, la OU externa no está registrada por AWS Control Tower.

  • AWS Control Tower gestiona el filtrado de permisos de forma diferente a como AWS Organizations lo hace. Si sus cuentas se aprovisionan con la fábrica de cuentas de la Torre de Control de AWS, los usuarios finales pueden ver los nombres y los padres de todas ellas OUs en la consola de la Torre de Control de AWS, incluso si no tienen permiso para recuperar esos nombres y padres directamente AWS Organizations .

  • AWS Control Tower no admite permisos mixtos en las organizaciones, como el permiso para ver el elemento principal de una unidad organizativa pero no para los nombres de la unidad organizativa. Por este motivo, se espera que los administradores de AWS Control Tower dispongan de todos los permisos.

  • El AWS Organizations FullAWSAccess SCP debe aplicarse y no debe fusionarse con otro. SCPs El cambio en esta SCP no se considera una desviación; sin embargo, algunos cambios pueden afectar a la funcionalidad de AWS Control Tower de manera impredecible si se deniega el acceso a determinados recursos. Por ejemplo, si el SCP se separa o se modifica, una cuenta puede perder el acceso a una AWS Config grabadora o crear un vacío en CloudTrail el registro.

  • No utilice la AWS Organizations DisableAWSServiceAccess API para desactivar el acceso al servicio de la Torre de Control de AWS a la organización en la que configuró su landing zone. Si lo hace, es posible que algunas características de detección de desviaciones de AWS Control Tower no funcionen correctamente sin el soporte de mensajería de AWS Organizations. Estas características de detección de desviaciones ayudan a garantizar que AWS Control Tower pueda informar con precisión del estado de conformidad de las unidades organizativas, las cuentas y los controles de su organización. Para obtener más información, consulte API_DisableAWSServiceAccess en la referencia AWS Organizations de la API.