Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
UO imbriquées dans AWS Control Tower
Ce chapitre répertorie les attentes et les considérations dont vous devez tenir compte lorsque vous travaillez avec des unités d'organisation imbriquées dans AWS Control Tower. Dans la plupart des cas, travailler avec des unités d'organisation imbriquées revient à travailler avec une structure d'unité d'organisation plate. Les fonctionnalités d'enregistrement et de réenregistrement fonctionnent avec des unités d'organisation imbriquées, à l'exception des comportements modifiés décrits dans ce chapitre.
Vidéo de procédure
Cette vidéo (4:46) explique comment gérer les déploiements d'unités d'organisation imbriquées dans AWS Control Tower. Pour un visionnage de meilleure qualité, sélectionnez l'icône dans le coin inférieur droit de la vidéo pour l'afficher en plein écran. Le sous-titrage est disponible.
Pour obtenir des conseils concernant les meilleures pratiques relatives aux unités d'organisation imbriquées et à votre zone d'atterrissage, consultez le billet de blog Organizing your AWS Control Tower landing zone with nested UO
Passez d'une structure d'unité d'organisation plate à une structure d'unité d'organisation imbriquée
Si vous avez créé votre zone de landing zone AWS Control Tower avec une structure d'UO plate, vous pouvez l'étendre à une structure d'UO imbriquée.
Ce processus comporte quatre étapes principales :
-
Créez la structure d'unité d'organisation imbriquée de votre choix dans AWS Control Tower.
-
Accédez à la AWS Organizations console et utilisez leur fonction de transfert groupé pour déplacer les comptes de l'unité d'organisation source (plate) vers l'unité d'organisation de destination (imbriquée). Voici comment procéder :
-
Accédez à l'unité d'organisation à partir de laquelle vous souhaitez déplacer des comptes.
-
Sélectionnez tous les comptes de l'unité d'organisation.
-
Choisissez Déplacer.
Note
Cette étape doit être effectuée dans la AWS Organizations console car AWS Control Tower ne possède pas de fonctionnalité Move.
-
-
Accédez à l'unité d'organisation imbriquée dans AWS Control Tower et enregistrez-la ou réenregistrez-la. Tous les comptes de l'unité d'organisation imbriquée seront inscrits.
-
Si vous avez créé l'unité d'organisation dans AWS Control Tower, réenregistrez-la.
-
Si vous avez créé l'unité d'organisation dans AWS Organizations, enregistrez l'unité d'organisation pour la première fois.
-
-
Une fois vos comptes déplacés et inscrits, supprimez l'unité d'organisation de premier niveau vide, soit depuis la AWS Organizations console, soit depuis la console AWS Control Tower.
Contrôles préalables à l'enregistrement des unités d'exploitation imbriquées
Pour garantir l'enregistrement réussi de vos unités d'organisation imbriquées et de leurs comptes membres, AWS Control Tower effectue une série de vérifications préalables. Ces mêmes prévérifications sont effectuées lors de l'enregistrement d'une unité d'organisation de premier niveau ou d'une unité d'organisation imbriquée. Pour plus d'informations, consultez la section Causes courantes d'échec lors de l'enregistrement ou du réenregistrement.
-
Si tous les précontrôles sont réussis, AWS Control Tower commence à enregistrer automatiquement votre unité d'organisation.
-
Si l'une des vérifications préalables échoue, AWS Control Tower arrête le processus d'enregistrement et vous fournit une liste des éléments à corriger avant que vous puissiez enregistrer votre unité d'organisation.
UO et rôles imbriqués
AWS Control Tower déploie le AWSControlTowerExecution
rôle sur les comptes de l'unité d'organisation cible et sur les comptes de toutes les unités d'organisation imbriquées sous l'unité d'organisation cible, même si votre intention est d'enregistrer uniquement l'unité d'organisation cible. Ce rôle donne à tout utilisateur du compte de gestion des autorisations d'administrateur sur tout compte doté de ce AWSControlTowerExecution
rôle. Le rôle peut être utilisé pour effectuer des actions qui seraient normalement interdites par les contrôles d'AWS Control Tower.
Vous pouvez supprimer ce rôle des comptes non inscrits que vous n'avez pas l'intention d'inscrire. Si vous supprimez ce rôle, vous ne pouvez pas inscrire le compte auprès d'AWS Control Tower, ni enregistrer les unités d'organisation parentes immédiates, sauf si vous restaurez le rôle sur le compte. Pour supprimer le AWSControlTowerExecution
rôle d'un compte, vous devez être connecté sous le AWSControlTowerExecution
rôle, car aucun autre responsable IAM n'est autorisé à supprimer des rôles gérés par AWS Control Tower.
Pour plus d'informations sur la façon de restreindre l'accès aux rôles, consultez la section Conditions facultatives relatives à vos relations de confiance en matière de rôles.
Que se passe-t-il lors de l'enregistrement et du réenregistrement des unités d'organisation et des comptes imbriqués
Lorsque vous enregistrez ou réenregistrez une unité d'organisation imbriquée, AWS Control Tower inscrit tous les comptes non inscrits de l'unité d'organisation cible et met à jour tous les comptes inscrits. Voici ce à quoi vous pouvez vous attendre.
AWS Control Tower exécute les tâches suivantes
-
Ajoute le
AWSControlTowerExecution
rôle à tous les comptes non inscrits dans cette unité d'organisation et à tous les comptes non inscrits dans ses unités d'organisation imbriquées. -
Enregistre les comptes de membres qui ne sont pas inscrits.
-
Réinscrit les comptes des membres inscrits.
-
Crée un identifiant IAM Identity Center pour les comptes de membres nouvellement inscrits.
-
Met à jour les comptes des membres inscrits existants pour refléter les modifications de votre zone de landing zone.
-
Met à jour les contrôles configurés pour cette unité d'organisation et ses comptes membres.
Considérations relatives à l'enregistrement des unités d'organisation imbriquées
-
Vous ne pouvez pas enregistrer une UO sous l'UO principale (UO de sécurité).
-
Les unités d'organisation imbriquées doivent être enregistrées séparément.
-
Vous ne pouvez pas enregistrer une UO si son UO parent n'est pas enregistrée.
-
Vous ne pouvez pas enregistrer une UO à moins que toutes les UO situées plus haut dans l'arborescence n'aient été enregistrées avec succès à un moment ou à un autre (certaines ont peut-être été supprimées).
-
Vous pouvez enregistrer une UO située sous une UO supérieure dérivée, mais cette action ne répare pas cette dérive.
Limites de l'UO imbriquée
-
Les unités d'organisation peuvent être imbriquées à un maximum de 5 niveaux de profondeur sous la racine.
-
Les unités d'organisation imbriquées sous l'unité d'organisation cible doivent être enregistrées ou réenregistrées séparément.
-
Si l'unité d'organisation cible se situe au niveau 2 ou inférieur dans la hiérarchie, c'est-à-dire s'il ne s'agit pas d'une unité d'organisation de niveau supérieur, les contrôles préventifs activés sur les unités d'organisation supérieures sont automatiquement appliqués à cette unité d'organisation et à toutes les unités inférieures.
-
Les échecs d'enregistrement de l'unité organisationnelle ne se propagent pas dans l'arborescence hiérarchique. Vous pouvez consulter les détails relatifs à l'état des unités d'organisation imbriquées sur la page de détails des unités d'organisation du parent.
-
Les échecs d'enregistrement de l'unité organisationnelle ne se propagent pas dans l'arborescence hiérarchique.
-
AWS Control Tower ne modifie pas les paramètres de votre VPC pour les comptes nouveaux ou existants.
UO imbriquées et conformité
Depuis la console AWS Control Tower, vous pouvez consulter les unités d'organisation et les comptes non conformes sur la page Organisation, afin de comprendre la conformité à plus grande échelle.
Considérations relatives à la conformité des unités d'organisation et des comptes imbriqués
-
La conformité d'une UO n'est pas déterminée en fonction de la conformité des UO qui lui sont imbriquées.
-
L'état de conformité d'un contrôle est calculé pour toutes les unités d'organisation sur lesquelles le contrôle est activé, y compris les unités d'organisation imbriquées. Consultez l'état de conformité d'AWS Control Tower pour les unités d'organisation et les comptes.
-
Une unité d'organisation est considérée comme non conforme uniquement si ses comptes ne le sont pas, quel que soit l'emplacement de l'unité d'organisation dans la hiérarchie des unités d'organisation.
-
Si une UO imbriquée n'est pas conforme, son UO parent n'est pas automatiquement considérée comme non conforme.
-
Sur la page de détail de l'unité d'organisation ou de détail du compte, vous pouvez consulter la liste des ressources non conformes qui peuvent être à l'origine du statut de non-conformité de vos unités d'organisation ou de vos comptes.
UO imbriquées et dérive
Dans certaines situations, la dérive peut empêcher l'enregistrement d'unités d'organisation imbriquées.
Attentes relatives à la dérive et aux unités d'organisation imbriquées
-
Vous pouvez activer les contrôles sur les unités d'organisation dont les parents sont dérivés, mais pas directement sur les unités d'organisation dérivées.
-
Vous êtes autorisé à activer les commandes de détection dans une unité d'organisation dérivée, à condition qu'il ne s'agisse pas d'une unité d'organisation dérivée de haut niveau.
-
Les contrôles obligatoires sont activés uniquement sur les unités d'organisation de niveau supérieur. Les contrôles obligatoires sont ignorés lorsque vous enregistrez une unité d'organisation imbriquée.
-
Un contrôle obligatoire protège les AWS Config ressources ; par conséquent, ce contrôle doit être dans un état non dérivé pour enregistrer des unités d'organisation imbriquées. En cas de dérive, AWS Control Tower bloque l'enregistrement des unités d'organisation imbriquées.
-
Si l'unité d'organisation de niveau supérieur est en dérive, le contrôle qui protège les AWS Config ressources peut être en dérive. Dans ce cas, AWS Control Tower bloque toute action nécessitant la création ou la mise à jour de AWS Config ressources, y compris l'application de contrôles de détection.
UO et contrôles imbriqués
Lorsque vous activez un contrôle sur une unité d'organisation enregistrée, les contrôles préventifs et de détection ont des comportements différents. Pour les unités d'organisation imbriquées, les contrôles proactifs se comportent de la même manière que les contrôles de détection.
Contrôles préventifs
-
Des contrôles préventifs sont appliqués aux unités d'organisation imbriquées.
-
Des contrôles préventifs obligatoires sont appliqués à tous les comptes relevant de l'UO et de ses UO imbriquées.
-
Les contrôles préventifs concernent tous les comptes et unités d'organisation imbriqués sous l'unité d'organisation cible, même si ces comptes et unités d'organisation ne sont pas enregistrés.
Detective et contrôles proactifs
-
Les unités d'organisation imbriquées n'héritent pas automatiquement des contrôles de détection ou proactifs ; ceux-ci doivent être activés séparément.
-
Les contrôles Detective et proactifs ne sont déployés que sur les comptes enregistrés dans les régions opérationnelles de votre zone d'atterrissage.
États de contrôle et héritage activés
Vous pouvez consulter les contrôles hérités pour chaque unité d'organisation sur la page de détails de l'unité d'organisation.
Astuce
Vous pouvez utiliser l'héritage de contrôle pour vous aider à respecter le quota SCP d'une unité d'organisation. Par exemple, vous pouvez activer un contrôle au niveau de l'unité d'organisation supérieure d'une hiérarchie d'unités d'organisation, au lieu de l'activer directement pour une unité d'organisation imbriquée.
Statut hérité
-
Le statut Hérité indique que le contrôle est activé uniquement par héritage et qu'il n'a pas été appliqué directement à l'unité d'organisation.
-
Le statut Activé signifie que le contrôle est appliqué sur cette unité d'organisation, quel que soit son état sur les autres unités d'organisation.
-
Le statut Failed signifie que le contrôle n'est pas appliqué sur cette unité d'organisation, quel que soit son état sur les autres unités d'organisation.
Note
Le statut Inherited indique que le contrôle a été appliqué à une UO située plus haut dans l'arborescence et qu'il est appliqué sur cette UO, mais il n'a pas été ajouté directement à cette UO.
Si votre zone d'atterrissage n'est pas la version actuelle
Chaque ligne du tableau des contrôles activés représente un contrôle activé sur une unité d'organisation individuelle.
Les unités d'organisation imbriquées et la racine
La racine n'est pas une unité d'organisation et elle ne peut pas être enregistrée ou réenregistrée. Vous ne pouvez pas non plus créer de comptes directement à la racine. La racine ne peut pas être non conforme ou présenter un état de cycle de vie, tel qu'elle est enregistrée ou en dérive.
Cependant, la racine est le conteneur de premier niveau pour tous les comptes et unités d'organisation. Dans le contexte des unités d'organisation imbriquées, il s'agit du nœud sous lequel toutes les autres unités d'organisation sont imbriquées.