Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Panduan untuk membuat dan memodifikasi sumber daya AWS Control Tower
Kami merekomendasikan praktik terbaik berikut saat Anda membuat dan memodifikasi sumber daya di AWS Control Tower. Panduan ini mungkin berubah saat layanan diperbarui. Ingatlah bahwa model tanggung jawab bersama
Bimbingan Umum
-
Jangan mengubah atau menghapus sumber daya apa pun yang dibuat oleh AWS Control Tower, termasuk sumber daya di akun manajemen, di akun bersama, dan di akun anggota. Jika Anda memodifikasi sumber daya ini, Anda mungkin diminta untuk memperbarui landing zone atau mendaftarkan ulang OU, dan modifikasi dapat mengakibatkan pelaporan kepatuhan yang tidak akurat.
Secara khusus:
-
Simpan AWS Config perekam aktif. Jika Anda menghapus perekam Config, kontrol detektif tidak dapat mendeteksi dan melaporkan penyimpangan. Sumber daya yang tidak sesuai dapat dilaporkan sebagai Compliant karena informasi yang tidak mencukupi.
-
Jangan mengubah atau menghapus peran AWS Identity and Access Management (IAM) yang dibuat dalam akun bersama di unit organisasi Keamanan (OU). Modifikasi peran ini dapat memerlukan pembaruan ke landing zone Anda.
-
Jangan hapus
AWSControlTowerExecution
peran dari akun anggota Anda, bahkan di akun yang tidak terdaftar. Jika Anda melakukannya, Anda tidak akan dapat mendaftarkan akun ini dengan AWS Control Tower, atau mendaftarkan orang tua OUs langsung mereka.
-
-
Jangan melarang penggunaan apapun Wilayah AWS melalui salah satu SCPs atau AWS Security Token Service (AWS STS). Melakukannya akan menyebabkan AWS Control Tower memasuki keadaan tidak terdefinisi. Jika Anda melarang Wilayah dengan AWS STS, fungsionalitas Anda akan gagal di Wilayah tersebut, karena otentikasi tidak akan tersedia di Wilayah tersebut. Sebaliknya, mengandalkan kemampuan penolakan Wilayah AWS Control Tower, seperti yang ditunjukkan dalam kontrol, Tolak akses AWS berdasarkan permintaan Wilayah AWS, yang bekerja di tingkat landing zone, atau wilayah kontrol menolak kontrol yang diterapkan pada OU, yang bekerja di tingkat OU untuk membatasi akses ke Wilayah.
-
AWS Organizations
FullAWSAccess
SCPHarus diterapkan dan tidak boleh digabung dengan yang lainSCPs. Perubahan SCP ini tidak dilaporkan sebagai drift; namun, beberapa perubahan dapat memengaruhi fungsionalitas AWS Control Tower dengan cara yang tidak terduga, jika akses ke sumber daya tertentu ditolak. Misalnya, jika terlepas, atau dimodifikasi, akun mungkin kehilangan akses ke AWS Config perekam atau membuat celah dalam CloudTrail pencatatan. SCP -
Jangan gunakan AWS Organizations
DisableAWSServiceAccess
API untuk mematikan akses layanan AWS Control Tower ke organisasi tempat Anda menyiapkan landing zone. Jika Anda melakukannya, fitur deteksi drift AWS Control Tower tertentu mungkin tidak berfungsi dengan baik tanpa dukungan pesan dari AWS Organizations. Fitur deteksi drift ini membantu menjamin bahwa AWS Control Tower dapat melaporkan status kepatuhan unit organisasi, akun, dan kontrol di organisasi Anda secara akurat. Untuk informasi selengkapnya, silakan lihat API_DisableAWSServiceAccess dalam AWS Organizations API Referensi. -
Secara umum, AWS Control Tower melakukan satu tindakan pada satu waktu, yang harus diselesaikan sebelum tindakan lain dapat dimulai. Misalnya, jika Anda mencoba menyediakan akun saat proses mengaktifkan kontrol sudah beroperasi, penyediaan akun akan gagal.
Pengecualian:
-
AWSControl Tower memungkinkan tindakan bersamaan untuk menerapkan kontrol opsional. Untuk informasi selengkapnya, lihat Penerapan bersamaan untuk kontrol opsional.
-
AWSControl Tower memungkinkan hingga sepuluh tindakan membuat, memperbarui, atau mendaftarkan akun secara bersamaan, dengan Account Factory.
-
catatan
Untuk informasi selengkapnya tentang sumber daya yang dibuat oleh AWS Control Tower, lihatApa saja akun bersama?.
Tips tentang akun dan OUs
-
Kami menyarankan agar Anda menyimpan setiap OU yang terdaftar hingga maksimum 1000 akun, sehingga Anda dapat memperbarui akun tersebut dengan kemampuan Register Ulang OU setiap kali pembaruan akun diperlukan, seperti saat Anda mengonfigurasi Wilayah baru untuk tata kelola.
-
Untuk mengurangi waktu yang diperlukan saat mendaftarkan OU, kami sarankan Anda menyimpan jumlah akun per OU menjadi sekitar 680, meskipun batasnya adalah 1000 akun per OU. Sebagai aturan umum, waktu yang diperlukan untuk mendaftarkan OU meningkat sesuai dengan jumlah Wilayah di mana OU Anda beroperasi, dikalikan dengan jumlah akun di OU.
-
Sebagai perkiraan, OU dengan 680 akun mungkin memerlukan hingga 2 jam untuk mendaftar dan mengaktifkan kontrol, dan hingga 1 jam untuk mendaftar ulang. Juga, OU yang memiliki banyak kontrol membutuhkan waktu lebih lama untuk mendaftar daripada OU dengan sedikit kontrol.
-
Satu kekhawatiran tentang mengizinkan jangka waktu yang lebih lama untuk mendaftarkan OU adalah bahwa proses ini memblokir tindakan lain. Beberapa pelanggan merasa nyaman membiarkan waktu yang lebih lama untuk mendaftar atau mendaftar ulang OU, karena mereka lebih suka mengizinkan lebih banyak akun di setiap OU.