Resumen Requisitos previos y limitaciones Arquitectura Herramientas Epics Resolución de problemas Recursos relacionados

Migración de una cuenta de miembro de AWS de AWS Organizations a AWS Control Tower

Creado por Rodolfo Jr. Cerrada (AWS)

Entorno: producción

Tecnologías: gestión y gobernanza; modernización

Servicios de AWS: AWS Organizations; AWS Control Tower

Resumen

Este patrón describe cómo migrar una cuenta de Amazon Web Services (AWS) de AWS Organizations, donde la cuenta de miembro está regida por una cuenta de administración, a AWS Control Tower. Al incluir la cuenta en AWS Control Tower, puede aprovechar las funciones y barreras de protección y detección que simplifican la gobernanza de su cuenta. Es posible que también desee migrar su cuenta de miembro si su cuenta de administración de AWS Organizations se ha visto comprometida. En este caso, puede trasladar las cuentas de los miembros a una nueva organización gobernada por AWS Control Tower.

AWS Control Tower proporciona un marco que combina e integra las capacidades de varios servicios de AWS, incluido AWS Organizations, y garantiza un cumplimiento y gobernanza coherentes en su entorno de múltiples cuentas. Con AWS Control Tower, puede seguir un conjunto de reglas y definiciones prescritas que amplían las capacidades de AWS Organizations. Por ejemplo, puede implantar barreras de protección para asegurar la creación de los permisos de acceso entre cuentas y registros de seguridad necesarios evitando posibles alteraciones.

Requisitos previos y limitaciones

Requisitos previos

Una cuenta de AWS activa
AWS Control Tower configurado en la organización de destino en AWS Organizations (para obtener más instrucciones, consulte Configuración en la documentación de AWS Control Tower)
Credenciales de administrador de AWS Control Tower (miembro del AWSControlTowerAdminsgrupo)
Credenciales de administrador de la cuenta de AWS de origen

Limitaciones

La cuenta de administración de origen de AWS Organizations debe ser diferente de la cuenta de administración de destino de AWS Control Tower.

Versiones de producto

AWS Control Tower versión 2.3 (febrero de 2020) o posterior (consulte las notas de versión)

Arquitectura

En el diagrama siguiente se ilustra el proceso de migración y la arquitectura de referencia. Este patrón migra la cuenta de AWS de la organización de origen a una organización de destino gobernada por AWS Control Tower.

Proceso de inscripción en la Torre de Control de AWS para una cuenta de AWS que se migró a otra organización y se trasladó a una OU registrada.

El proceso de inscripción consta de estos pasos:

La cuenta deja la organización de origen en AWS Organizations.
La cuenta se convierte en una cuenta independiente. Esto significa que no pertenece a ninguna organización, por lo que los administradores de cuentas gestionan la gobernanza y la facturación de forma independiente.
La organización de destino envía una invitación para unir la cuenta a la organización.
La cuenta independiente acepta la invitación y pasa a ser miembro de la organización de destino.
La cuenta se incluye en AWS Control Tower y se pasa a una unidad organizativa (OU) registrada. (Le recomendamos que consulte el panel de control de AWS Control Tower para confirmar la inclusión). En este momento entran en vigor todas las barreras de protección habilitadas en la OU registrada.

Herramientas

Servicios de AWS

AWS Organizations es un servicio de administración de cuentas que le permite unificar varias cuentas de AWS en una única entidad (una organización) que haya creado y administrado de forma centralizada.
AWS Control Tower integra capacidades de otros servicios, como AWS Organizations, AWS IAM Identity Center (sucesor de AWS Single Sign-On) y AWS Service Catalog, para ayudarle a aplicar y administrar las normas de gobernanza de seguridad, operaciones y conformidad a escala en todas sus organizaciones y cuentas en la nube de AWS.

Epics

Tarea	Descripción	Habilidades requeridas
Compruebe que la cuenta de miembro pueda funcionar como una cuenta independiente.	Confirme que la cuenta de miembro que abandonará la organización de origen tenga la información necesaria para funcionar como una cuenta independiente. Por ejemplo, si la cuenta del miembro no tiene información de facturación, no podrá operar como una cuenta independiente, ya que AWS usa la información de pago para cargar cualquier actividad de AWS facturable que se produzca mientras la cuenta no esté vinculada a una organización. Generalmente, cuando crea una cuenta miembro en la consola AWS Organizations, la API o los comandos de la interfaz de la línea de comandos (CLI) de AWS, no se recopila toda la información necesaria para las cuentas independientes de manera automática. Para añadir esta información, inicie sesión en la cuenta y especifique un plan de soporte, información de contacto y un método de pago. Para obtener más información sobre lo que necesita saber antes de eliminar una cuenta de una organización, consulte Antes de eliminar una cuenta de la organización en la documentación de AWS Organizations.	Cuenta de administrador
Elimine la cuenta de miembro de la organización de origen.	Siga las instrucciones de la documentación de AWS Organizations para eliminar una cuenta de miembro de una organización. Puede iniciar sesión en la cuenta de administración de la organización y eliminar la cuenta de miembro, o iniciar sesión en la cuenta de miembro y salir de la organización. Si no tiene credenciales de administrador para eliminar o abandonar la cuenta, solicite ayuda al administrador de su organización. Si a la cuenta de miembro le falta un plan de asistencia, información de contacto o información de pago, se le pedirá que proporcione y verifique esa información. Cuando deje la organización, se le redirigirá a la página Introducción de la consola de AWS Organizations, donde podrá ver las invitaciones pendientes de su cuenta para unirse a otras organizaciones. Importante: desde este momento, su cuenta es una cuenta independiente. Si ejecuta cargas de trabajo no cubiertas por el nivel gratuito de AWS, se le cobrará según la información de pago y facturación que haya proporcionado para la cuenta.	Administrador de cuentas de administración o administrador de cuentas
Compruebe que la cuenta de miembro ya no forma parte de la organización de origen.	En la consola de AWS Organizations, ya no debería ver el botón Abandonar la organización. En su lugar, debería ver las invitaciones pendientes, si las hay, de otras organizaciones.	Cuenta de administrador
Elimine los roles de IAM que conceden acceso a su cuenta de la organización que ha dejado.	Al eliminar la cuenta de la organización de origen, las funciones de AWS Identity and Access Management (IAM) creadas por AWS Organizations o por los administradores no se eliminarán automáticamente. Si desea eliminar este acceso desde la cuenta de administración anterior de la organización, debe eliminar los roles de IAM manualmente. Para obtener más información, consulte Eliminación de roles o perfiles de instancia en la documentación de IAM. Cuando una cuenta miembro abandona una organización, se eliminan todas las etiquetas asociadas a la cuenta. Las cuentas independientes no admiten etiquetas.	Cuenta de administrador

Tarea	Descripción	Habilidades requeridas
Inicie sesión en AWS Control Tower.	Inicie sesión en la consola de AWS Control Tower como administrador. Actualmente, no existe una forma directa de pasar una cuenta de AWS de una organización de origen a una organización de una OU gobernada por AWS Control Tower. Sin embargo, puede ampliar la gobernanza de AWS Control Tower a una cuenta de AWS existente al inscribirla en una OU que ya esté gobernada por AWS Control Tower. Por ello, debe iniciar sesión en AWS Control Tower para realizar este paso.	Administrador de AWS Control Tower
Invitar la cuenta miembro.	Inicie sesión en la consola de AWS Organizations y acceda a la página Cuentas de AWS. En la página Agregar una cuenta AWS, seleccione Invitar una cuenta de AWS existente. Complete la información de la cuenta, incluido el número de cuenta de 12 dígitos (sin guiones), la descripción y las etiquetas opcionales, y seleccione Enviar invitación. Importante: compruebe que la transferencia de la cuenta no afectará a ninguna aplicación ni a la conectividad de red. Esta acción envía un correo electrónico de invitación con un enlace a la cuenta de miembro. Cuando el administrador de la cuenta sigue el enlace y acepta la invitación, la cuenta del miembro aparece en la página de Cuentas de AWS. Para obtener más información, consulte Invitar una cuenta de AWS a unirse a su organización. en la documentación de AWS Organizations.	Administrador de AWS Control Tower
Pruebe las aplicaciones y la conectividad.	Cuando la cuenta del miembro se haya registrado en la nueva organización, aparecerá en la OU dentro de una raíz. También aparecerá en la consola de AWS Control Tower marcada como no incluida en ninguna cuenta, ya que aún no se ha inscrito en la OU registrada de AWS Control Tower. Compruebe lo siguiente: Consulte el panel de control de AWS Control Tower para comprobar si hay alguna infracción de barreras de protección. Compruebe la conectividad de la red (VPN o AWS Direct Connect) para asegurarse de que no se haya visto afectada por la transferencia. (Propietarios de aplicación) Pruebe las aplicaciones asociadas a esta cuenta para comprobar que se ejecutan según lo previsto, y que la transferencia de la cuenta no ha afectado a las dependencias.	Administrador de AWS Control Tower, administrador de cuentas de miembros, propietarios de aplicación

Tarea

Descripción

Habilidades requeridas

Inicie sesión en AWS Control Tower.

Inicie sesión en la consola de AWS Control Tower como administrador.

Actualmente, no existe una forma directa de pasar una cuenta de AWS de una organización de origen a una organización de una OU gobernada por AWS Control Tower. Sin embargo, puede ampliar la gobernanza de AWS Control Tower a una cuenta de AWS existente al inscribirla en una OU que ya esté gobernada por AWS Control Tower. Por ello, debe iniciar sesión en AWS Control Tower para realizar este paso.

Administrador de AWS Control Tower

Invitar la cuenta miembro.

Inicie sesión en la consola de AWS Organizations y acceda a la página Cuentas de AWS.
En la página Agregar una cuenta AWS, seleccione Invitar una cuenta de AWS existente.
Complete la información de la cuenta, incluido el número de cuenta de 12 dígitos (sin guiones), la descripción y las etiquetas opcionales, y seleccione Enviar invitación.

Importante: compruebe que la transferencia de la cuenta no afectará a ninguna aplicación ni a la conectividad de red.

Esta acción envía un correo electrónico de invitación con un enlace a la cuenta de miembro. Cuando el administrador de la cuenta sigue el enlace y acepta la invitación, la cuenta del miembro aparece en la página de Cuentas de AWS. Para obtener más información, consulte Invitar una cuenta de AWS a unirse a su organización. en la documentación de AWS Organizations.

Administrador de AWS Control Tower

Pruebe las aplicaciones y la conectividad.

Cuando la cuenta del miembro se haya registrado en la nueva organización, aparecerá en la OU dentro de una raíz. También aparecerá en la consola de AWS Control Tower marcada como no incluida en ninguna cuenta, ya que aún no se ha inscrito en la OU registrada de AWS Control Tower.

Compruebe lo siguiente:

Consulte el panel de control de AWS Control Tower para comprobar si hay alguna infracción de barreras de protección.
Compruebe la conectividad de la red (VPN o AWS Direct Connect) para asegurarse de que no se haya visto afectada por la transferencia.
(Propietarios de aplicación) Pruebe las aplicaciones asociadas a esta cuenta para comprobar que se ejecutan según lo previsto, y que la transferencia de la cuenta no ha afectado a las dependencias.

Administrador de AWS Control Tower, administrador de cuentas de miembros, propietarios de aplicación

Tarea	Descripción	Habilidades requeridas
Revise las barreras de protección y corrija cualquier infracción.	Revise las barreras de protección definidas en la OU de destino, especialmente las barreras preventivas, y corrija cualquier posible infracción. Al configurar la zona de aterrizaje de AWS Control Tower, se habilitan de forma predeterminada varias barreras de protección obligatorias y preventivas. Estas barreras no se pueden desactivar. Deberá revisarlas y reparar la cuenta de miembro (manualmente o mediante un script) antes de inscribirla. Nota: Las barreras de protección preventivas mantienen el cumplimiento de las cuentas registradas de AWS Control Tower y evitan el incumplimiento de las políticas. Cualquier infracción de las barreras de protección preventivas podría afectar a la inclusión. Si se detectan, las infracciones de las barreras de protección aparecerán en el panel de AWS Control Tower tras la correcta inclusión de la cuenta. No afectarán al proceso de inscripción. Para obtener más información, consulte barrera de protección en AWS Control Tower en la documentación de AWS.	Administrador de AWS Control Tower, administrador de cuentas de miembros
Compruebe si hay problemas de conectividad después de corregir las infracciones de las barreras de protección.	En algunos casos, es posible que tenga que cerrar puertos específicos o desactivar servicios para corregir las infracciones de barreras de protección. Asegúrese de corregir las aplicaciones que usan esos puertos y servicios antes de inscribir la cuenta.	Propietario de la aplicación

Tarea

Descripción

Habilidades requeridas

Revise las barreras de protección y corrija cualquier infracción.

Revise las barreras de protección definidas en la OU de destino, especialmente las barreras preventivas, y corrija cualquier posible infracción.

Al configurar la zona de aterrizaje de AWS Control Tower, se habilitan de forma predeterminada varias barreras de protección obligatorias y preventivas. Estas barreras no se pueden desactivar. Deberá revisarlas y reparar la cuenta de miembro (manualmente o mediante un script) antes de inscribirla.

Nota: Las barreras de protección preventivas mantienen el cumplimiento de las cuentas registradas de AWS Control Tower y evitan el incumplimiento de las políticas. Cualquier infracción de las barreras de protección preventivas podría afectar a la inclusión. Si se detectan, las infracciones de las barreras de protección aparecerán en el panel de AWS Control Tower tras la correcta inclusión de la cuenta. No afectarán al proceso de inscripción. Para obtener más información, consulte barrera de protección en AWS Control Tower en la documentación de AWS.

Administrador de AWS Control Tower, administrador de cuentas de miembros

Compruebe si hay problemas de conectividad después de corregir las infracciones de las barreras de protección.

En algunos casos, es posible que tenga que cerrar puertos específicos o desactivar servicios para corregir las infracciones de barreras de protección. Asegúrese de corregir las aplicaciones que usan esos puertos y servicios antes de inscribir la cuenta.

Propietario de la aplicación

Tarea	Descripción	Habilidades requeridas
Inicie sesión en la consola de AWS Control Tower.	Use credenciales de inicio de sesión con permisos administrativos para AWS Control Tower. No use las credenciales del usuario raíz (cuenta de administración) para inscribir una cuenta de AWS Organizations. Aparecerá un mensaje de error.	Administrador de AWS Control Tower
Inscriba la cuenta.	En la página Account Factory de AWS Control Tower, elija Inscribir cuenta. Complete los detalles, incluida la dirección de correo electrónico asociada a la cuenta que desea inscribir, el nombre visible que aparecerá en AWS Control Tower, la dirección de correo electrónico de IAM Identity Center, el nombre y apellidos del propietario de la cuenta y la OU en la que desea incluir la cuenta. La dirección de correo electrónico de IAM Identity Center es su dirección de correo electrónico de usuario preferida. Puede usar la misma dirección de correo electrónico que la cuenta. Seleccione Enroll account (Inscribir cuenta). Para obtener más información, consulte Inscribir una cuenta existente en la documentación de AWS Control Tower.	Administrador de AWS Control Tower

Tarea	Descripción	Habilidades requeridas
Verifique la cuenta.	En AWS Control Tower, elija Cuentas. La cuenta que acaba de inscribir tendrá el estado inicial Inscribiendo. Cuando se complete la inscripción, su estado cambiará a Inscrito.	Administrador de AWS Control Tower, administrador de cuentas de miembros
Compruebe si hay infracciones de barreras de protección.	Las barreras de protección definidas en la OU se aplicarán automáticamente a la cuenta del miembro inscrito. Supervise el panel de control de AWS Control Tower para detectar posibles infracciones y corríjalas en consecuencia. Para obtener más información, consulte barrera de protección en AWS Control Tower en la documentación de AWS.	Administrador de AWS Control Tower, administrador de cuentas de miembros

Resolución de problemas

Problema	Solución
Recibe el mensaje de error: Se ha producido un error desconocido. Vuelva a intentarlo más tarde o póngase en contacto con AWS Support.	Este error se produce cuando usa las credenciales de usuario raíz (cuenta de administración) en AWS Control Tower para inscribir una cuenta nueva. AWS Service Catalog no puede asignar la cartera o el producto de Account Factory al usuario raíz, lo que genera un mensaje de error. Para corregir este error, introduzca credenciales de usuario (administrador) que no sean raíz y tengan acceso completo para inscribir la nueva cuenta. Para obtener más información sobre cómo asignar acceso administrativo a un usuario administrativo, consulte la Introducción en la documentación de AWS IAM Identity Center (sucesor de AWS Single Sign-On).
La página Actividades de AWS Control Tower muestra la acción Desviación catastrófica.	Esta acción refleja una comprobación de desviación del servicio, y no indica ningún problema con la configuración de AWS Control Tower. No hay que hacer nada más.

Problema

Solución

Recibe el mensaje de error: Se ha producido un error desconocido. Vuelva a intentarlo más tarde o póngase en contacto con AWS Support.

Este error se produce cuando usa las credenciales de usuario raíz (cuenta de administración) en AWS Control Tower para inscribir una cuenta nueva. AWS Service Catalog no puede asignar la cartera o el producto de Account Factory al usuario raíz, lo que genera un mensaje de error. Para corregir este error, introduzca credenciales de usuario (administrador) que no sean raíz y tengan acceso completo para inscribir la nueva cuenta. Para obtener más información sobre cómo asignar acceso administrativo a un usuario administrativo, consulte la Introducción en la documentación de AWS IAM Identity Center (sucesor de AWS Single Sign-On).

La página Actividades de AWS Control Tower muestra la acción Desviación catastrófica.

Esta acción refleja una comprobación de desviación del servicio, y no indica ningún problema con la configuración de AWS Control Tower. No hay que hacer nada más.

Recursos relacionados

Documentación

Terminología y conceptos de AWS Organizations (Guía del usuario de AWS Organizations)
¿Qué es AWS Control Tower? (documentación de AWS Control Tower)
Eliminar una cuenta de miembro de su organización (documentación de AWS Organizations)
Crear una cuenta de administrador en AWS Control Tower (documentación de AWS Control Tower)

Tutoriales y videos

Taller sobre AWS Control Tower (taller autogestionado)
¿Qué es AWS Control Tower? (video)
Aprovisionamiento de usuarios en AWS Control Tower (video)
Habilitar AWS Control Tower para organizaciones existentes (video)

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Administre los productos de AWS Service Catalog en varias AWS cuentas y regiones

Supervisar el uso de una AMI en todas las cuentas de AWS