AWS Organizations orientation - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Organizations orientation

AWS Control Tower est étroitement associée à AWS Organizations. Voici quelques conseils spécifiques sur la meilleure façon de travailler ensemble pour protéger votre AWS environnement.

  • Vous trouverez des conseils sur les meilleures pratiques pour protéger la sécurité de votre compte de gestion AWS Control Tower et de vos comptes membres dans la AWS Organizations documentation.

  • Ne mettez pas à jour les politiques de contrôle des services existantes (SCPs) associées à une unité d'organisation enregistrée auprès d'AWS Control Tower. Cela pourrait entraîner le passage des commandes à un état inconnu, ce qui vous obligera à réinitialiser votre zone d'atterrissage ou à réenregistrer votre unité d'organisation dans AWS Control Tower. Vous pouvez plutôt les utiliser AWS Organizations pour en créer de nouveaux SCPs et les joindre à ceux créés par AWS Control Tower OUs plutôt SCPs que de les modifier.

  • Le transfert de comptes individuels déjà inscrits vers AWS Control Tower, depuis l'extérieur d'une unité d'organisation enregistrée, entraîne une dérive qui doit être corrigée. Consultez Types de dérive en matière de gouvernance.

  • Si vous créez, invitez ou déplacez des comptes au sein d'une organisation enregistrée auprès d'AWS Control Tower, ces comptes ne sont pas inscrits par AWS Control Tower et ces modifications ne sont pas enregistrées. AWS Organizations Si vous avez besoin d'accéder à ces comptes via SSO, consultez Accès au compte membre.

  • Si vous déplacez une AWS Organizations unité d'organisation dans une organisation créée par AWS Control Tower, l'unité d'organisation externe n'est pas enregistrée par AWS Control Tower.

  • AWS Control Tower gère le filtrage des autorisations AWS Organizations différemment. Si vos comptes sont approvisionnés avec AWS Control Tower Account Factory, les utilisateurs finaux peuvent voir les noms et les parents de tous les comptes OUs dans la console AWS Control Tower, même s'ils ne sont pas autorisés à récupérer directement ces noms et parents. AWS Organizations

  • AWS Control Tower ne prend pas en charge les autorisations mixtes pour les organisations, telles que l'autorisation de consulter le parent d'une unité d'organisation, mais pas les noms des unités d'organisation. Pour cette raison, les administrateurs d'AWS Control Tower sont tenus de disposer d'autorisations complètes.

  • Le AWS Organizations FullAWSAccess SCP doit être appliqué et ne doit pas être fusionné avec un autre SCPs. La modification de ce SCP n'est pas signalée comme une dérive ; toutefois, certaines modifications peuvent affecter les fonctionnalités d'AWS Control Tower de manière imprévisible, si l'accès à certaines ressources est refusé. Par exemple, si le SCP est détaché ou modifié, un compte peut perdre l'accès à un AWS Config enregistreur ou créer une lacune dans la CloudTrail journalisation.

  • N'utilisez pas l' AWS Organizations DisableAWSServiceAccessAPI pour désactiver l'accès du service AWS Control Tower à l'organisation dans laquelle vous avez configuré votre zone de landing zone. Dans ce cas, certaines fonctionnalités de détection de dérive d'AWS Control Tower risquent de ne pas fonctionner correctement sans l'assistance par message de AWS Organizations. Ces fonctionnalités de détection des dérives permettent à AWS Control Tower de signaler avec précision l'état de conformité des unités organisationnelles, des comptes et des contrôles de votre organisation. Pour plus d’informations, consultez .API_DisableAWSServiceAccess dans la référence de AWS Organizations l'API.