Panduan untuk membuat dan memodifikasi sumber daya AWS Control Tower - AWSControl Tower

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Panduan untuk membuat dan memodifikasi sumber daya AWS Control Tower

Kami merekomendasikan praktik terbaik berikut saat Anda membuat dan memodifikasi sumber daya di AWS Control Tower. Panduan ini mungkin berubah saat layanan diperbarui. Ingatlah bahwa model tanggung jawab bersama berlaku untuk lingkungan AWS Control Tower Anda.

Panduan Umum
  • Jangan mengubah atau menghapus sumber daya apa pun yang dibuat oleh AWS Control Tower, termasuk sumber daya di akun manajemen, di akun bersama, dan di akun anggota. Jika Anda memodifikasi sumber daya ini, Anda mungkin diminta untuk memperbarui landing zone atau mendaftarkan ulang OU, dan modifikasi dapat mengakibatkan pelaporan kepatuhan yang tidak akurat.

    Secara khusus:

    • Tetap aktif AWS Config perekam. Jika Anda menghapus perekam Config, kontrol detektif tidak dapat mendeteksi dan melaporkan penyimpangan. Sumber daya yang tidak sesuai dapat dilaporkan sebagai Compliant karena informasi yang tidak mencukupi.

    • Jangan memodifikasi atau menghapus AWS Identity and Access Management (IAM) peran yang dibuat dalam akun bersama di unit organisasi Keamanan (OU). Modifikasi peran ini dapat memerlukan pembaruan ke landing zone Anda.

    • Jangan hapus AWSControlTowerExecution peran dari akun anggota Anda, bahkan di akun yang tidak terdaftar. Jika Anda melakukannya, Anda tidak akan dapat mendaftarkan akun ini dengan AWS Control Tower, atau mendaftarkan orang tua OUs langsung mereka.

  • Jangan melarang penggunaan apapun Wilayah AWS melalui salah satu SCPs atau AWS Security Token Service (AWS STS). Melakukannya akan menyebabkan AWS Control Tower memasuki keadaan tidak terdefinisi. Jika Anda melarang Wilayah dengan AWS STS, fungsionalitas Anda akan gagal di Wilayah tersebut, karena otentikasi tidak akan tersedia di Wilayah tersebut. Sebaliknya, mengandalkan kemampuan penolakan Wilayah AWS Control Tower, seperti yang ditunjukkan dalam kontrol, Tolak akses ke AWS Berdasarkan yang diminta Wilayah AWS, yang bekerja di tingkat landing zone, atau wilayah kontrol menolak kontrol diterapkan pada OU, yang bekerja di tingkat OU untuk membatasi akses ke Wilayah.

  • Bagian AWS Organizations FullAWSAccessSCPharus diterapkan dan tidak boleh digabung dengan yang lainSCPs. Perubahan SCP ini tidak dilaporkan sebagai drift; namun, beberapa perubahan dapat memengaruhi fungsionalitas AWS Control Tower dengan cara yang tidak terduga, jika akses ke sumber daya tertentu ditolak. Misalnya, jika terlepas, atau dimodifikasi, akun dapat kehilangan akses ke SCP AWS Config perekam atau buat celah dalam CloudTrail logging.

  • Jangan gunakan AWS Organizations DisableAWSServiceAccessAPIuntuk mematikan akses layanan AWS Control Tower ke organisasi tempat Anda menyiapkan landing zone. Jika Anda melakukannya, fitur deteksi drift AWS Control Tower tertentu mungkin tidak berfungsi dengan baik tanpa dukungan pesan dari AWS Organizations. Fitur deteksi drift ini membantu menjamin bahwa AWS Control Tower dapat melaporkan status kepatuhan unit organisasi, akun, dan kontrol di organisasi Anda secara akurat. Untuk informasi selengkapnya, silakan lihat API_DisableAWSServiceAccess di AWS Organizations APIReferensi.

  • Secara umum, AWS Control Tower melakukan satu tindakan pada satu waktu, yang harus diselesaikan sebelum tindakan lain dapat dimulai. Misalnya, jika Anda mencoba menyediakan akun saat proses mengaktifkan kontrol sudah beroperasi, penyediaan akun akan gagal.

    Pengecualian:

    • AWSControl Tower memungkinkan tindakan bersamaan untuk menerapkan kontrol opsional. Untuk informasi selengkapnya, lihat Penerapan bersamaan untuk kontrol opsional.

    • AWSControl Tower memungkinkan hingga sepuluh tindakan membuat, memperbarui, atau mendaftarkan akun secara bersamaan, dengan Account Factory.

catatan

Untuk informasi selengkapnya tentang sumber daya yang dibuat oleh AWS Control Tower, lihatApa saja akun bersama?.

Tips tentang akun dan OUs
  • Kami menyarankan agar Anda menyimpan setiap OU yang terdaftar hingga maksimum 300 akun, sehingga Anda dapat memperbarui akun tersebut dengan kemampuan Register Ulang OU setiap kali pembaruan akun diperlukan, seperti saat Anda mengonfigurasi Wilayah baru untuk tata kelola.

  • Untuk mengurangi waktu yang diperlukan saat mendaftarkan OU, kami sarankan Anda menyimpan jumlah akun per OU menjadi sekitar 150, meskipun batasnya adalah 300 akun per OU. Sebagai aturan umum, waktu yang diperlukan untuk mendaftarkan OU meningkat sesuai dengan jumlah Wilayah di mana OU Anda beroperasi, dikalikan dengan jumlah akun di OU.

  • Sebagai perkiraan, OU dengan 150 akun membutuhkan sekitar 2 jam untuk mendaftar dan mengaktifkan kontrol, dan sekitar 1 jam untuk mendaftar ulang. Juga, OU yang memiliki banyak kontrol membutuhkan waktu lebih lama untuk mendaftar daripada OU dengan sedikit kontrol.

  • Satu kekhawatiran tentang mengizinkan jangka waktu yang lebih lama untuk mendaftarkan OU adalah bahwa proses ini memblokir tindakan lain. Beberapa pelanggan merasa nyaman membiarkan waktu yang lebih lama untuk mendaftar atau mendaftar ulang OU, karena mereka lebih suka mengizinkan lebih banyak akun di setiap OU.