Planifiez la zone de landing de votre AWS Control Tower - AWS Control Tower
Comparez les fonctionnalitésLancer AWS Control Tower dans une organisation existanteLancer AWS Control Tower dans une nouvelle organisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Planifiez la zone de landing de votre AWS Control Tower

Au cours du processus de configuration, AWS Control Tower lance une ressource clé associée à votre compte, appelée zone de destination, qui héberge vos organisations et leurs comptes.

Note

Vous pouvez avoir une zone de destination par organisation.

Pour plus d'informations sur les meilleures pratiques à suivre lors de la planification et de la configuration de votre zone d'atterrissage, consultezAWS stratégie multi-comptes pour votre zone de landing zone AWS Control Tower.

Comment configurer AWS Control Tower

Vous pouvez configurer une zone d'atterrissage AWS Control Tower dans une organisation existante, ou vous pouvez commencer par créer une nouvelle organisation contenant votre zone d'atterrissage AWS Control Tower.

Note

Si vous disposez déjà d'une zone d' AWS Organizations atterrissage, vous pouvez étendre la gouvernance d'AWS Control Tower depuis la zone d'atterrissage existante à tout ou partie de vos unités d'organisation et comptes existants au sein d'une organisation. Voir Gouverner les organisations et les comptes existants.

Comparez les fonctionnalités

Voici une brève comparaison des différences entre l'ajout d'AWS Control Tower à une organisation existante ou l'extension de la gouvernance d'AWS Control Tower aux unités d'organisation et aux comptes. Certaines considérations particulières s'appliquent également si vous passez de la solution AWS Landing Zone à AWS Control Tower.

À propos de l'ajout à une organisation existante : vous pouvez ajouter AWS Control Tower à une organisation existante dans la AWS console. Dans ce cas, vous avez déjà créé une organisation dans le AWS Organizations service, cette organisation n'est pas actuellement enregistrée auprès d'AWS Control Tower et vous souhaitez ajouter une zone de landing zone par la suite.

Lorsque vous ajoutez une zone de landing zone à une organisation existante, AWS Control Tower met en place une structure parallèle, au AWS Organizations niveau. Cela ne modifie pas les unités d'organisation et les comptes au sein de votre organisation existante.

À propos de l'extension de la gouvernance : l'extension de la gouvernance s'applique à des unités d'organisation et à des comptes spécifiques au sein d'une même organisation déjà enregistrée auprès d'AWS Control Tower, ce qui signifie qu'une zone de landing zone existe déjà pour cette organisation. L'extension de la gouvernance signifie que les contrôles d'AWS Control Tower sont étendus afin que leurs contraintes s'appliquent aux unités d'organisation et aux comptes spécifiques au sein de cette organisation enregistrée. Dans ce cas, vous ne lancez pas une nouvelle zone d'atterrissage, vous ne faites qu'étendre la zone d'atterrissage actuelle de votre organisation.

Important

Remarque particulière : si vous utilisez actuellement la solutionAWS Landing Zone (ALZ) pour AWS Organizations, contactez votre architecte de AWS solutions avant d'essayer d'activer AWS Control Tower dans votre organisation. AWS Control Tower ne peut pas effectuer de vérifications préalables visant à déterminer si AWS Control Tower est susceptible d'interférer avec le déploiement actuel de votre zone de landing zone. Pour de plus amples informations, veuillez consulter Procédure pas à pas : passer d'ALZ à AWS Control Tower. En outre, pour plus d'informations sur le transfert de comptes d'une zone d'atterrissage à une autre, voir Et si le compte ne répond pas aux prérequis ?

Lancer AWS Control Tower dans une organisation existante

En configurant une zone de landing zone AWS Control Tower dans une organisation existante, vous pouvez commencer à travailler immédiatement, en parallèle avec votre AWS Organizations environnement existant. Vos autres UO créées dans ce cadre AWS Organizations restent inchangées, car elles ne sont pas enregistrées auprès d'AWS Control Tower. Vous pouvez continuer à utiliser ces UO et ces comptes exactement tels qu'ils sont.

AWS Control Tower consolide ses activités en utilisant le compte de gestion de votre organisation existante comme compte de gestion. Aucun nouveau compte de gestion n'est nécessaire. Vous pouvez lancer votre zone de landing zone AWS Control Tower depuis votre compte de gestion existant.

Note

Pour configurer AWS Control Tower sur une organisation existante, vos limites de service doivent autoriser la création d'au moins deux comptes supplémentaires.

Effets de l'ajout d'AWS Control Tower à votre organisation existante

AWS Control Tower crée deux comptes dans votre organisation : un compte d'audit et un compte de journalisation. Ces comptes enregistrent les actions entreprises par votre équipe, dans leurs comptes d'utilisateur final individuels. Les comptes d'archive Audit et Log apparaissent dans l'unité d'organisation de sécurité au sein de votre zone de landing zone AWS Control Tower.

Lorsque vous configurez votre zone de landing zone, les comptes ajoutés par AWS Control Tower font partie de votre compte existant et AWS Organizations, en tant que tels, ils font partie de la facturation de votre organisation existante.

Résumé des fonctionnalités

L'activation d'AWS Control Tower sur une AWS Organizations organisation existante apporte plusieurs améliorations majeures à l'organisation.

  • Cela permet une facturation unifiée entre les groupes de votre organisation, car les comptes ajoutés par AWS Control Tower feront partie de votre organisation existante.

  • Il vous permet d'administrer tous les comptes à partir d'un seul compte de gestion dans votre unité d'organisation.

  • Il simplifie la façon dont vous appliquez et appliquez les contrôles relatifs à la sécurité et à la conformité des comptes existants et nouveaux.

Important

Le lancement de votre zone de landing zone AWS Control Tower dans une AWS Organizations organisation existante ne vous permet pas d'étendre la gouvernance d'AWS Control Tower de cette organisation à d'autres unités d'organisation ou à d'autres comptes qui ne sont pas enregistrés auprès d'AWS Control Tower.

Pour lancer AWS Control Tower dans votre organisation existante, suivez le processus décrit dansCommencer à utiliser AWS Control Tower.

Pour plus d'informations sur la manière dont AWS Control Tower interagit avec les AWS Organizations organisations existantes, consultezGérez les organisations et les comptes avec AWS Control Tower.

Lancer AWS Control Tower dans une nouvelle organisation

Si vous utilisez AWS Control Tower pour la première fois et que vous n'y avez jamais travaillé AWS Organizations, le meilleur point de départ est de consulter notre Configuration document.

AWS Control Tower configure automatiquement une organisation pour vous lorsque vous n'en avez pas configuré une.