Despliegue AWS Control Tower en una organización AWS de zonas de aterrizaje - AWS Guía prescriptiva
Inscribir AWS cuentas existentes AWS Control Tower en una organización existenteInscribir AWS cuentas de una organización existente AWS Control Tower en una nueva organización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Despliegue AWS Control Tower en una organización AWS de zonas de aterrizaje

Este escenario detalla los pasos necesarios para la implementación AWS Control Tower en una AWS Organizations organización que actualmente ejecuta la solución AWS Landing Zone.

  1. Asegúrese de poder crear dos cuentas nuevas sin superar las cuotas de servicio actuales. Si es necesario, solicite un aumento de la cuota de servicio. Las nuevas cuentas se desplegarán como parte del AWS Control Tower despliegue, a menos que utilices cuentas existentes de la zona de aterrizaje que utilizaste para AWS Landing Zone.

  2. Si las utiliza actualmente AWS IAM Identity Center, impleméntelas AWS Control Tower en la misma AWS región en la que está configurado IAM Identity Center.

  3. En la AWS Organizations consola, seleccione Inhabilitar el acceso de confianza a los AWS CloudTrail servicios AWS Config y servicios si están activados. Para obtener más información, consulte la Documentación de AWS.

  4. Implemente AWS Control Tower. Para obtener más información, consulte la Documentación de AWS.

Esto es lo que puedes esperar cuando configuras tu AWS Control Tower landing zone en una organización existente.

  • Puedes tener una landing zone en cada AWS Organizations organización.

  • AWS Control Tower utiliza la cuenta de administración de su AWS Organizations organización actual como cuenta de administración. No se necesita una cuenta de administración nueva.

  • AWS Control Tower configura dos cuentas nuevas en una unidad organizativa de seguridad registrada: una cuenta de auditoría y una cuenta de archivo de registros, a menos que utilice cuentas existentes durante la configuración. Si utiliza cuentas existentes, AWS Control Tower moverá las cuentas de auditoría y archivo de registros a la OU que creó durante la AWS Control Tower implementación.

  • Las cuotas de servicio de su organización deben ser adecuadas para la creación de estas dos cuentas adicionales.

  • Tras el lanzamiento, las AWS Control Tower barreras de protección se aplican automáticamente a las cuentas de esa unidad organizativa.

  • Puede inscribir otras AWS cuentas existentes en una OU que esté regida por ellas AWS Control Tower, de modo que se apliquen restricciones a esas cuentas.

Si desea inscribir una AWS cuenta existente o OUs en ella una AWS Control Tower vez configurada, consulte la sección Inscripción de AWS cuentas existentes AWS Control Tower en una organización existente de la guía.

Inscribir AWS cuentas existentes AWS Control Tower en una organización existente

Puedes extender el AWS Control Tower control a una AWS cuenta individual existente al inscribirla en una unidad organizativa (OU) que ya esté gobernada por AWS Control Tower ella. Existen cuentas aptas que no estén registradas y OUs que formen parte de la misma AWS Organizations organización que la AWS Control Tower OU.

Puede registrar una OU AWS Control Tower desde la AWS Control Tower consola. Cuando registre una OU, también AWS Control Tower inscribirá todas las cuentas de la OU AWS Control Tower.

Recomendamos registrar una OU, en lugar de inscribir cuentas individuales. La ventaja de este enfoque es que el ID de la OU no cambia. Si tiene alguna política o regla que utilice el identificador de unidad organizativa, no necesitará realizar ningún cambio.

Antes de inscribir AWS cuentas AWS Control Tower, elimine las instancias de AWS CloudFormation pila del conjunto de pilas denominadoAWS-Landing-Zone-Baseline-EnableConfig. En cada cuenta que desee inscribir, en cada AWS región en la que AWS Control Tower esté desplegada, debe eliminar la instancia AWS-Landing-Zone-Baseline-EnableConfig apilada. Dado que eliminar todo el conjunto de pilas lleva tiempo, te recomendamos que elimines las instancias de pila solo de las cuentas que vayas a inscribir. Lo ideal sería que al eliminar las instancias de la pila de una cuenta específica se eliminaran la AWS Config grabadora y el canal de entrega. Puede verificar la eliminación ejecutando los siguientes comandos para esa cuenta.


      aws configservice describe-configuration-recorders --region <region_name>     
      aws configservice describe-delivery-channels --region <region_name>

Utilice la función AWS Control Tower Registrar unidad organizativa desde la AWS Control Tower consola

Antes de registrar una unidad organizativa completa que tenga AWS cuentas existentes, asegúrese de hacer lo siguiente:

  • Elimine la AWS Config grabadora y el canal de entrega de todas las regiones de todas las cuentas incluidas en esa OU, como se mencionó anteriormente.

Para obtener más información, consulte Registrar una unidad organizativa existente en AWS Control Tower.

Una vez inscrita una cuenta AWS Control Tower, verá otro producto aprovisionado en Service Catalog para la cuenta que haya inscrito. El nombre del producto aprovisionado llevará el prefijo Enroll-. Esto significa que ahora tiene dos productos aprovisionados en Service Catalog para una sola cuenta:

  • Un producto suministrado por la máquina expendedora de cuentas de AWS Landing Zone

  • Un producto aprovisionado a partir de la inscripción en AWS Control Tower

Tiene la opción de cancelar el producto aprovisionado para una cuenta de AWS Landing Zone, pero le recomendamos que espere hasta que se complete la transición.

Cuando canceles el producto aprovisionado para las cuentas vendidas en el entorno de AWS Landing Zone, la Terminate operación empezará a eliminar los conjuntos de AWS CloudFormation pilas de referencia asociados, que tal vez quieras conservar. Asegúrese de evaluar los conjuntos de pilas de referencia en manifest.yaml y de comprender las implicaciones de eliminarlos. Si tienes algún recurso en los conjuntos de pilas que quieras conservar, evita eliminar el producto aprovisionado. Una eliminación parcial hará que el producto aprovisionado quede en estado contaminado en la consola de Service Catalog.

Como alternativa, puede conservar el producto aprovisionado creado por Account Vending Machine desde Landing Zone. AWS

Inscribir AWS cuentas de una organización existente AWS Control Tower en una nueva organización

Es posible que desee realizar una implementación AWS Control Tower en una nueva AWS Organizations organización. Para configurarlo AWS Control Tower en una nueva organización, complete los siguientes pasos:

  1. Crea una AWS cuenta nueva.

  2. Implemente AWS Control Tower en la cuenta recién creada.

  3. Para migrar una AWS cuenta de una organización existente a la nueva organización en la que se desplegó AWS Control Tower, consulta las instrucciones. Es importante revisar y comprender todos los aspectos relacionados con el acceso a la cuenta, la facturación, las licencias y los impuestos.

  4. Para entender el proceso de migración de AWS cuentas entre organizaciones, consulta la entrada del blog Migración de cuentas entre empresas AWS Organizations con facturación consolidada a todas las funciones.

  5. Comience a inscribir la AWS cuenta. AWS Control Tower Para realizar la inscripción, consulte la sección Inscripción de AWS cuentas existentes AWS Control Tower en una organización existente.