Déploiement AWS Control Tower dans une organisation de zone AWS d'atterrissage - AWS Directives prescriptives
Inscription de AWS comptes existants auprès AWS Control Tower d'une organisation existanteInscrire AWS des comptes d'une organisation existante AWS Control Tower dans une nouvelle organisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Déploiement AWS Control Tower dans une organisation de zone AWS d'atterrissage

Ce scénario détaille les étapes du déploiement AWS Control Tower dans une AWS Organizations organisation qui exécute actuellement la solution AWS Landing Zone.

  1. Assurez-vous de pouvoir créer deux nouveaux comptes sans dépasser les quotas de service actuels. Si nécessaire, demandez des augmentations du quota de service. Les nouveaux comptes seront déployés dans le cadre du AWS Control Tower déploiement, sauf si vous utilisez des comptes existants de la zone d'atterrissage que vous avez utilisée pour la zone AWS d'atterrissage.

  2. Si vous l'utilisez actuellement AWS IAM Identity Center, AWS Control Tower déployez-le dans la même AWS région où IAM Identity Center est configuré.

  3. Sur la AWS Organizations console, choisissez Désactiver l'accès sécurisé pour AWS Config et AWS CloudTrail les services s'ils sont activés. Pour en savoir plus, consultez la documentation AWS.

  4. Déployez AWS Control Tower. Pour en savoir plus, consultez la documentation AWS.

Voici à quoi vous attendre lorsque vous configurez votre zone de AWS Control Tower landing zone dans une organisation existante.

  • Vous pouvez avoir une seule zone de landing zone dans chaque AWS Organizations organisation.

  • AWS Control Tower utilise le compte de gestion de votre AWS Organizations organisation existante comme compte de gestion. Aucun nouveau compte de gestion n'est nécessaire.

  • AWS Control Tower configure deux nouveaux comptes dans une unité d'organisation de sécurité enregistrée : un compte d'audit et un compte d'archivage des journaux, sauf si vous utilisez des comptes existants lors de la configuration. Si vous utilisez des comptes existants, les comptes d'audit et d'archivage des journaux AWS Control Tower seront déplacés sous l'unité d'organisation que vous avez créée lors AWS Control Tower du déploiement.

  • Les quotas de service de votre organisation doivent être adéquats pour la création de ces deux comptes supplémentaires.

  • Après le lancement, les AWS Control Tower garde-fous s'appliquent automatiquement aux comptes de cette unité d'organisation.

  • Vous pouvez inscrire des AWS comptes existants supplémentaires dans une unité d'organisation régie par AWS Control Tower, afin que des mesures de protection s'appliquent à ces comptes.

Si vous souhaitez inscrire des AWS comptes existants ou y OUs accéder AWS Control Tower après leur création, consultez la section Inscription de AWS comptes existants auprès AWS Control Tower d'une organisation existante du guide.

Inscription de AWS comptes existants auprès AWS Control Tower d'une organisation existante

Vous pouvez étendre AWS Control Tower la gouvernance à un AWS compte individuel existant lorsque vous l'inscrivez dans une unité organisationnelle (UO) déjà gouvernée par AWS Control Tower. Les comptes éligibles existent dans des comptes non enregistrés OUs qui font partie de la même AWS Organizations organisation que l'UO AWS Control Tower .

Vous pouvez enregistrer une unité d'organisation AWS Control Tower depuis la AWS Control Tower console. Lorsque vous enregistrez une UO, tous les comptes associés à l'UO AWS Control Tower seront inscrits à AWS Control Tower.

Nous vous recommandons d'enregistrer une UO au lieu d'inscrire des comptes individuels. L'avantage de cette approche est que l'ID de l'UO ne change pas. Si vous avez des politiques ou des règles qui utilisent l'ID de l'UO, vous n'avez pas besoin d'apporter de modifications.

Avant d'inscrire AWS des comptes auprès de AWS Control Tower, supprimez les instances de AWS CloudFormation pile de l'ensemble de piles nomméAWS-Landing-Zone-Baseline-EnableConfig. Dans chaque compte que vous souhaitez inscrire, dans chaque AWS région où il AWS Control Tower est déployé, vous devez supprimer une instance de AWS-Landing-Zone-Baseline-EnableConfig pile. Comme la suppression de l'ensemble complet de la pile prend du temps, nous vous recommandons de supprimer les instances de pile uniquement pour les comptes que vous inscrivez. Idéalement, la suppression des instances de pile pour un compte spécifique devrait entraîner la suppression de l' AWS Config enregistreur et du canal de diffusion. Vous pouvez vérifier la suppression en exécutant les commandes suivantes pour ce compte.


      aws configservice describe-configuration-recorders --region <region_name>     
      aws configservice describe-delivery-channels --region <region_name>

Utiliser la fonction AWS Control Tower Register OU depuis la AWS Control Tower console

Avant d'enregistrer une unité d'organisation complète dotée de AWS comptes existants, veillez à effectuer les opérations suivantes :

  • Supprimez l' AWS Config enregistreur et le canal de diffusion de toutes les régions de tous les comptes associés à cette unité d'organisation, comme indiqué précédemment.

Pour plus d'informations, voir Enregistrer une unité organisationnelle existante auprès de AWS Control Tower.

Une fois qu'un compte est enregistré AWS Control Tower, vous verrez un autre produit approvisionné dans Service Catalog pour le compte que vous avez inscrit. Le nom du produit approvisionné sera préfixé par Enroll -. Cela signifie que vous disposez désormais de deux produits provisionnés dans Service Catalog pour un seul compte :

  • Un produit approvisionné auprès du distributeur automatique du compte AWS Landing Zone

  • Un produit approvisionné dès l'inscription à AWS Control Tower

Vous avez la possibilité de résilier le produit fourni pour un compte auprès de AWS Landing Zone, mais nous vous recommandons d'attendre la fin de la transition.

Lorsque vous résiliez le produit provisionné pour les comptes vendus dans l'environnement AWS Landing Zone, l'Terminateopération commence à supprimer les ensembles de AWS CloudFormation piles de base associés, que vous souhaiterez peut-être conserver. Assurez-vous d'évaluer les ensembles de piles de base dans manifest.yaml et de comprendre les implications de la suppression des ensembles de piles. Si les ensembles de piles contiennent des ressources que vous souhaitez conserver, évitez de supprimer le produit provisionné. Une suppression partielle rendra le produit approvisionné dans l'état Tainted dans la console Service Catalog.

Vous pouvez également conserver le produit approvisionné créé par Account Vending Machine depuis AWS Landing Zone.

Inscrire AWS des comptes d'une organisation existante AWS Control Tower dans une nouvelle organisation

Vous souhaiterez peut-être effectuer un déploiement AWS Control Tower dans une nouvelle AWS Organizations organisation. Pour vous installer AWS Control Tower dans une nouvelle organisation, procédez comme suit :

  1. Créez un nouveau AWS compte.

  2. Déployez AWS Control Tower dans le compte nouvellement créé.

  3. Pour migrer un AWS compte d'une organisation existante vers la nouvelle organisation dans laquelle vous l'avez déployé AWS Control Tower, consultez les instructions. Il est important d'examiner et de comprendre toutes les considérations relatives à l'accès au compte, à la facturation, aux licences et à la fiscalité qui sont couvertes.

  4. Pour comprendre le processus de migration des AWS comptes entre organisations, consultez le billet de blog sur la migration des comptes entre organisations AWS Organizations avec facturation consolidée pour toutes les fonctionnalités.

  5. Commencez à enregistrer le AWS compte. AWS Control Tower Pour effectuer l'inscription, consultez la section Inscription de AWS comptes existants auprès AWS Control Tower d'une organisation existante.