Étendre la gouvernance à une organisation existante - AWS Control Tower
Vidéo : Activer une zone d'atterrissage dans une zone existante AWS OrganizationsConsidérations relatives à IAM Identity Center et aux organisations existantesAccès à d'autres AWS services

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étendre la gouvernance à une organisation existante

Vous pouvez ajouter la gouvernance de la AWS Control Tower à une organisation existante en configurant une zone d'atterrissage (LZ), comme indiqué dans le guide de l'utilisateur de la AWS Control Tower présenté à l'étape 2 de Getting Started.

Voici ce à quoi vous pouvez vous attendre lorsque vous configurez votre zone de landing AWS Control Tower dans une organisation existante.

  • Vous ne pouvez avoir qu'une seule zone de landing zone par AWS Organizations organisation.

  • AWSControl Tower utilise le compte de gestion de votre AWS Organizations organisation existante comme compte de gestion. Aucun nouveau compte de gestion n'est nécessaire.

  • AWSControl Tower crée deux nouveaux comptes dans une unité d'organisation enregistrée : un compte d'audit et un compte de journalisation.

  • Les limites de service de votre organisation doivent permettre la création de ces deux comptes supplémentaires.

  • Une fois que vous avez lancé votre zone d'atterrissage ou enregistré une unité d'organisation, les commandes de la AWS Control Tower s'appliquent automatiquement à tous les comptes inscrits dans cette unité d'organisation.

  • Vous pouvez inscrire des AWS comptes existants supplémentaires dans une unité d'organisation régie par AWS Control Tower, afin que les contrôles s'appliquent à ces comptes.

  • Vous pouvez en ajouter d'autres OUs dans AWS Control Tower et vous pouvez vous enregistrer déjàOUs.

Pour vérifier les autres conditions requises pour l'enregistrement et l'inscription, consultez Getting Started with AWS Control Tower.

Voici plus de détails sur le fait que les contrôles de la AWS Control Tower ne s'appliquent pas à vous OUs dans AWS les organisations qui n'ont pas configuré de zones d'atterrissage pour la AWS Control Tower :

  • Les nouveaux comptes créés en dehors de AWS Control Tower Account Factory ne sont pas soumis aux contrôles de l'unité d'organisation enregistrée.

  • Les nouveaux comptes créés dans OUs qui ne sont pas enregistrés auprès de AWS Control Tower ne sont pas soumis à des contrôles, sauf si vous inscrivez spécifiquement ces comptes dans AWS Control Tower. Veuillez consulter Inscrire un existant Compte AWS pour de plus amples informations sur l'inscription de comptes.

  • Les organisations existantes supplémentaires, les comptes existants et tout compte nouveau OUs ou créé en dehors de AWS Control Tower ne sont pas liés par les contrôles de AWS Control Tower, sauf si vous enregistrez l'unité d'organisation ou que vous inscrivez le compte séparément.

Pour plus d'informations sur la façon d'appliquer AWS Control Tower à des comptes OUs et à des comptes existants, consultezEnregistrer une unité organisationnelle existante auprès AWS de Control Tower.

Pour un aperçu du processus de mise en place d'une zone d'atterrissage AWS Control Tower dans votre organisation existante, regardez la vidéo dans la section suivante.

Note

Lors de la configuration, AWS Control Tower effectue des vérifications préliminaires afin d'éviter les problèmes courants. Toutefois, si vous utilisez actuellement la solution AWS Landing Zone pour AWS Organizations, contactez votre architecte de AWS solutions avant d'essayer d'activer AWS Control Tower dans votre organisation afin de déterminer si AWS Control Tower est susceptible d'interférer avec le déploiement actuel de votre zone d'atterrissage. Consultez également Si le compte ne répond pas aux prérequis les informations relatives au transfert de comptes d'une zone d'atterrissage à une autre.

Vidéo : Activer une zone d'atterrissage dans une zone existante AWS Organizations

Cette vidéo (7:48) explique comment configurer et activer une zone d'atterrissage AWS Control Tower dans les AWS Organizations structures existantes. Pour un visionnage de meilleure qualité, sélectionnez l'icône dans le coin inférieur droit de la vidéo pour l'afficher en plein écran. Le sous-titrage est disponible.

Considérations relatives à IAM Identity Center et aux organisations existantes

  • Si AWS IAM Identity Center (IAMIdentity Center) est déjà configuré, la région d'origine de la AWS Control Tower doit être identique à la région IAM Identity Center.

  • AWSControl Tower ne supprime pas une configuration existante.

  • Si IAM Identity Center est déjà activé et si vous utilisez IAM Identity Center Directory, AWS Control Tower ajoute des ressources telles que des ensembles d'autorisations, des groupes, etc., et procède comme d'habitude.

  • Si un autre répertoire (externe, AD, Managed AD) est configuré, AWS Control Tower ne modifie pas la configuration existante. Pour en savoir plus, consultez Considérations pour les AWS IAM Identity Center clients (IAM Identity Center).

Accès à d'autres AWS services

Une fois que vous avez intégré votre organisation à la gouvernance de AWS Control Tower, vous avez toujours accès à tous les AWS services disponibles via AWS Organizations, au moyen de la AWS Organizations console etAPIs. Pour de plus amples informations, veuillez consulter Services AWS connexes.