Jika Anda mengelola sumber daya di luar AWS Control Tower - AWSControl Tower

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Jika Anda mengelola sumber daya di luar AWS Control Tower

AWS Control Tower menyiapkan akun, unit organisasi, dan sumber daya lainnya atas nama Anda, tetapi Anda adalah pemilik sumber daya ini. Anda dapat mengubah sumber daya ini di AWS Control Tower atau di luarnya. Tempat paling umum untuk mengubah sumber daya di luar AWS Control Tower adalah AWS Organizations konsol. Topik ini menjelaskan cara mendamaikan perubahan pada sumber daya AWS Control Tower saat Anda membuat perubahan di luar AWS Control Tower.

Mengganti nama, menghapus, dan memindahkan sumber daya di luar konsol AWS Control Tower menyebabkan konsol menjadi tidak sinkron. Banyak perubahan dapat direkonsiliasi secara otomatis. Perubahan tertentu memerlukan pengaturan ulang ke landing zone Anda, untuk memperbarui informasi yang ditampilkan di konsol AWS Control Tower.

Secara umum, perubahan yang Anda lakukan di luar konsol AWS Control Tower ke sumber daya AWS Control Tower menciptakan status drift yang dapat diselesaikan di landing zone Anda. Untuk informasi lebih lanjut tentang perubahan ini, lihatPerubahan sumber daya yang dapat diperbaiki.

Tugas yang membutuhkan reset landing zone
  • Menghapus Keamanan OU (Kasus khusus, tidak boleh dilakukan dengan ringan.)

  • Menghapus akun bersama dari Security OU (Tidak disarankan.)

  • Memperbarui, melampirkan, atau melepaskan SCP yang terkait dengan OU Keamanan.

Perubahan yang diperbarui secara otomatis oleh AWS Control Tower
  • Mengubah alamat email akun terdaftar

  • Mengganti nama akun terdaftar

  • Membuat unit organisasi tingkat atas (OU) baru

  • Mengganti nama OU terdaftar

  • Menghapus OU terdaftar (Kecuali OU Keamanan, yang memerlukan pembaruan.)

  • Menghapus akun terdaftar (Kecuali akun bersama di OU Keamanan.)

catatan

AWS Service Catalog menangani perubahan secara berbeda dari AWS Control Tower. AWS Service Catalog dapat membuat perubahan dalam postur tata kelola ketika merekonsiliasi perubahan Anda. Untuk informasi selengkapnya tentang memperbarui produk yang disediakan, lihat Memperbarui Produk yang Disediakan dalam dokumentasi. AWS Service Catalog

Mengacu pada sumber daya di luar AWS Control Tower

Saat Anda membuat OU dan akun baru di luar AWS Control Tower, akun tersebut tidak diatur oleh AWS Control Tower, meskipun mungkin ditampilkan.

Membuat OU

Unit Organisasi (OU) yang dibuat di luar AWS Control Tower disebut sebagai Tidak Terdaftar. Mereka ditampilkan di halaman Organisasi, tetapi tidak diatur oleh kontrol AWS Control Tower.

Membuat akun

Akun yang dibuat di luar AWS Control Tower disebut Unenrolled. Akun terdaftar dan tidak terdaftar milik OU yang terdaftar di AWS Control Tower ditampilkan di halaman Organisasi. Akun yang bukan milik OU terdaftar dapat diundang dengan menggunakan AWS Organizations konsol. Undangan untuk bergabung ini tidak mendaftarkan akun di AWS Control Tower atau memperluas tata kelola AWS Control Tower ke akun. Untuk memperluas tata kelola dengan mendaftarkan akun, buka halaman Organisasi atau halaman detail Akun di AWS Control Tower dan pilih Daftar akun.

Mengubah nama sumber daya AWS Control Tower secara eksternal

Anda dapat mengubah nama unit organisasi (OU) dan akun di luar konsol AWS Control Tower, dan konsol diperbarui secara otomatis untuk mencerminkan perubahan tersebut.

Mengganti nama OU

Di AWS Organizations, Anda dapat mengubah nama OU dengan menggunakan AWS Organizations API atau konsol. Saat Anda mengubah nama OU di luar AWS Control Tower, konsol AWS Control Tower secara otomatis mencerminkan perubahan nama. Namun, jika Anda menyediakan akun Anda menggunakan AWS Service Catalog, Anda juga harus mengatur ulang landing zone Anda untuk memastikan bahwa AWS Control Tower tetap konsisten AWS Organizations. Alur kerja Reset memastikan konsistensi di seluruh layanan untuk OU Dasar dan Tambahan. Anda dapat mengatasi jenis penyimpangan ini dari halaman pengaturan zona pendaratan. Lihat bagian yang disebut “Menyelesaikan Drift” di. Mendeteksi dan mengatasi penyimpangan di AWS Control Tower

AWS Control Tower menampilkan nama OU pada halaman Organisasi di dasbor AWS Control Tower. Anda dapat melihat kapan operasi reset landing zone Anda telah berhasil.

Mengganti nama akun terdaftar

Setiap AWS akun memiliki nama tampilan yang dapat diubah oleh pengguna root akun di AWS Billing and Cost Management konsol. Saat Anda mengganti nama akun yang terdaftar di AWS Control Tower, perubahan nama secara otomatis tercermin di AWS Control Tower. Untuk informasi selengkapnya tentang mengubah nama akun, lihat Mengelola AWS akun di Panduan Pengguna AWS Penagihan.

Menghapus Keamanan OU

Jenis drift ini adalah kasus khusus. Jika Anda menghapus Security OU, Anda akan melihat halaman pesan kesalahan, meminta Anda untuk mengatur ulang landing zone Anda. Anda harus mengatur ulang landing zone sebelum dapat melakukan tindakan lain di AWS Control Tower.

  • Anda tidak akan dapat melakukan tindakan apa pun di konsol AWS Control Tower dan Anda tidak akan dapat membuat akun baru AWS Service Catalog sampai reset selesai.

  • Anda tidak akan dapat melihat halaman pengaturan zona pendaratan untuk melihat tombol Reset di sana.

Dalam situasi ini, proses reset landing zone menciptakan OU Keamanan baru dan memindahkan dua akun bersama ke OU Keamanan baru. AWS Control Tower menandai akun Log Archive dan Audit sebagai drifted. Proses yang sama menyelesaikan penyimpangan di akun ini.

Jika Anda menentukan bahwa Anda harus menghapus OU Keamanan, inilah yang perlu Anda ketahui:

Sebelum Anda dapat menghapus Security OU, Anda harus memastikan tidak mengandung akun. Secara khusus, Anda harus menghapus akun Arsip Log dan Audit dari OU. Kami menyarankan Anda memindahkan akun ini ke OU lain.

catatan

Tindakan menghapus OU Keamanan Anda tidak boleh dilakukan tanpa pertimbangan. Tindakan tersebut dapat menimbulkan kekhawatiran kepatuhan jika pencatatan ditangguhkan sementara, dan karena beberapa kontrol mungkin tidak ditegakkan.

Untuk informasi umum tentang drift, lihat “Menyelesaikan Drift” di. Mendeteksi dan mengatasi penyimpangan di AWS Control Tower

Menghapus akun dari Security OU

Kami tidak menyarankan Anda menghapus salah satu akun bersama dari organisasi Anda atau memindahkannya dari Security OU. Jika Anda telah menghapus akun bersama secara tidak sengaja, Anda dapat mengikuti langkah-langkah perbaikan di bagian ini untuk memulihkan akun.

  • Dari dalam konsol AWS Control Tower: Untuk memulai proses remediasi, ikuti langkah-langkah remediasi semi-manual. Pastikan pengguna atau peran yang Anda gunakan untuk mengakses konsol AWS Control Tower memiliki izin untuk dijalankanorganizations:InviteAccountToOrganization. Jika Anda tidak memiliki izin tersebut, ikuti langkah-langkah perbaikan manual, yang menggunakan konsol AWS Control Tower dan konsol. AWS Organizations

  • Mulai dari AWS Organizations konsol: Proses remediasi ini adalah prosedur manual yang sedikit lebih lama dan sepenuhnya. Saat mengikuti langkah-langkah perbaikan manual, Anda akan beralih antara AWS Organizations konsol dan konsol AWS Control Tower. Saat bekerja di AWS Organizations, Anda memerlukan pengguna atau peran dengan kebijakan AWSOrganizationsFullAccess terkelola atau yang setara. Saat bekerja di konsol AWS Control Tower, Anda memerlukan pengguna atau peran dengan kebijakan AWSControlTowerServiceRolePolicy terkelola atau yang setara, dan izin untuk menjalankan semua tindakan AWS Control Tower (controltower: *).

  • Jika langkah-langkah remediasi tidak memulihkan akun, hubungi AWS Support.

Hasil menghapus akun bersama melalui AWS Organizations:
  • Akun tidak lagi dilindungi oleh kontrol wajib AWS Control Tower dengan kebijakan kontrol layanan (SCP). Hasil: Sumber daya yang dibuat oleh AWS Control Tower di akun dapat diubah atau dihapus.

  • Akun tidak lagi berada di bawah akun AWS Organizations manajemen. Hasil: Administrator akun AWS Organizations manajemen tidak lagi memiliki visibilitas ke dalam pengeluaran akun.

  • Akun tidak lagi dijamin untuk dipantau oleh AWS Config. Hasil: Administrator akun AWS Organizations manajemen mungkin tidak dapat mendeteksi perubahan sumber daya.

  • Akun tidak lagi ada di organisasi. Hasil: Pembaruan dan reset AWS Control Tower akan gagal.

Untuk memulihkan akun bersama menggunakan konsol AWS Control Tower (prosedur semi-manual)
  1. Masuk ke konsol AWS Control Tower di https://console.aws.amazon.com/controltower. Anda harus masuk sebagai pengguna IAM, pengguna di Pusat Identitas IAM, atau peran dengan izin untuk dijalankan. organizations:InviteAccountToOrganization Jika Anda tidak memiliki izin tersebut, gunakan prosedur remediasi manual yang dijelaskan nanti dalam topik ini.

  2. Pada halaman terdeteksi drift zona pendaratan, pilih Undangan Ulang untuk memulihkan penghapusan akun bersama dengan mengundang kembali akun bersama ke dalam organisasi. Email yang dibuat secara otomatis dikirim ke alamat email untuk akun tersebut.

  3. Terima undangan untuk membawa akun bersama kembali ke organisasi. Lakukan salah satu hal berikut:

    • Masuk ke akun bersama yang telah dihapus, lalu buka https://console.aws.amazon.com/organizations/home#/invites

    • Jika Anda memiliki akses ke pesan email yang dikirim saat Anda mengundang kembali akun, masuk ke akun yang dihapus, lalu klik tautan dalam pesan untuk menavigasi langsung ke undangan akun.

    • Jika akun bersama yang dihapus tidak ada di organisasi lain, masuk ke akun, buka AWS Organizations konsol dan arahkan ke Undangan.

  4. Masuk lagi ke akun manajemen, atau muat ulang konsol AWS Control Tower jika sudah terbuka. Anda akan melihat halaman drift zona pendaratan. Pilih Reset untuk memperbaiki landing zone.

  5. Tunggu proses reset selesai.

Jika remediasi berhasil, akun bersama muncul dalam keadaan normal dan kepatuhan.

Jika langkah-langkah remediasi tidak memulihkan akun, hubungi AWS Support.

Untuk memulihkan akun bersama menggunakan AWS Control Tower dan AWS Organizations konsol (Remediasi manual)
  1. Masuk ke AWS Organizations konsol dihttps://console.aws.amazon.com/organizations/. Anda harus masuk sebagai pengguna IAM, pengguna di Pusat Identitas IAM, atau peran dengan kebijakan AWSOrganizationsFullAccess terkelola atau yang setara.

  2. Undang akun bersama kembali ke organisasi. Untuk informasi tentang persyaratan, prasyarat, dan prosedur untuk mengundang akun AWS Organizations, lihat Mengundang akun ke organisasi Anda di AWS Panduan Pengguna.AWS Organizations

  3. Masuk ke akun bersama yang telah dihapus, lalu buka https://console.aws.amazon.com/organizations/home#/invites untuk menerima undangan.

  4. Masuk lagi ke akun manajemen.

  5. Masuk ke konsol AWS Control Tower sebagai pengguna atau peran dengan kebijakan AWSControlTowerServiceRolePolicy terkelola atau yang setara, dan izin untuk menjalankan semua tindakan AWS Control Tower (controltower: *).

  6. Anda akan melihat halaman drift zona pendaratan dengan opsi untuk mengatur ulang landing zone. Pilih Reset untuk memperbaiki landing zone.

  7. Tunggu proses reset selesai.

Jika remediasi berhasil, akun bersama muncul dalam keadaan normal dan kepatuhan.

Jika langkah-langkah remediasi tidak memulihkan akun, hubungi AWS Support.

Perubahan eksternal yang diperbarui secara otomatis

Perubahan yang Anda buat pada alamat email akun diperbarui oleh AWS Control Tower secara otomatis, tetapi Account Factory tidak memperbaruinya secara otomatis.

Mengubah alamat email akun yang diatur

AWS Control Tower mengambil dan menampilkan alamat email seperti yang dipersyaratkan oleh pengalaman konsol. Oleh karena itu, alamat email akun bersama dan lainnya diperbarui dan ditampilkan secara konsisten di AWS Control Tower setelah Anda mengubahnya.

catatan

Di AWS Service Catalog, Account Factory menampilkan parameter yang ditentukan di konsol saat Anda membuat produk yang disediakan. Namun, alamat email akun asli tidak diperbarui secara otomatis ketika alamat email akun berubah. Itu karena akun secara konseptual terkandung dalam produk yang disediakan; itu tidak sama dengan produk yang disediakan. Untuk memperbarui nilai ini, Anda harus memperbarui produk yang disediakan, yang dapat menyebabkan perubahan postur tata kelola.

Menerapkan AWS Config aturan eksternal

AWS Control Tower menampilkan status kepatuhan semua AWS Config aturan yang diterapkan ke unit organisasi yang terdaftar di AWS Control Tower, termasuk aturan yang diaktifkan di luar konsol AWS Control Tower.

Menghapus sumber daya AWS Control Tower di luar AWS Control Tower

Anda dapat menghapus OU dan akun di AWS Control Tower dan Anda tidak perlu mengambil tindakan lebih lanjut untuk melihat pembaruan. Account Factory diperbarui secara otomatis saat Anda menghapus OU, tetapi tidak saat Anda menghapus akun.

Menghapus OU terdaftar (kecuali OU Keamanan)

Di dalamnya AWS Organizations, Anda dapat menghapus unit organisasi kosong (OU) dengan menggunakan API atau konsol. OU yang berisi akun tidak dapat dihapus.

AWS Control Tower menerima pemberitahuan dari AWS Organizations saat OU dihapus. Ini memperbarui daftar OU di Account Factory, sehingga daftar OU terdaftar tetap konsisten.

catatan

Di AWS Service Catalog, Account Factory diperbarui untuk menghapus OU yang dihapus dari daftar OU yang tersedia di mana Anda dapat menyediakan akun.

Menghapus akun terdaftar dari OU

Saat Anda menghapus akun yang terdaftar, AWS Control Tower menerima pemberitahuan dan membuat pembaruan, sehingga informasinya tetap konsisten.

catatan

Di AWS Service Catalog, produk yang disediakan Account Factory yang mewakili akun yang diatur tidak diperbarui untuk menghapus akun. Sebagai gantinya, produk yang disediakan ditampilkan sebagai TAINTED dan dalam status kesalahan. Untuk membersihkan, pergi ke AWS Service Catalog, pilih produk yang disediakan, dan kemudian pilih Terminate.