Prasyarat: Pemeriksaan pra-peluncuran otomatis untuk akun manajemen Anda - AWS Control Tower
Pertimbangan untuk pelanggan AWS IAM Identity Center (IAM Identity Center)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prasyarat: Pemeriksaan pra-peluncuran otomatis untuk akun manajemen Anda

Sebelum AWS Control Tower menyiapkan landing zone, AWS Control Tower secara otomatis menjalankan serangkaian pemeriksaan pra-peluncuran di akun Anda. Tidak ada tindakan yang diperlukan di pihak Anda untuk pemeriksaan ini, yang memastikan bahwa akun manajemen Anda siap untuk perubahan yang membentuk landing zone Anda. Berikut adalah pemeriksaan yang dijalankan AWS Control Tower sebelum menyiapkan landing zone:

  • Batas layanan yang ada Akun AWS harus cukup untuk AWS Control Tower untuk diluncurkan. Untuk informasi selengkapnya, lihat Batasan dan kuota di AWS Control Tower.

  • Akun AWS Harus berlangganan AWS layanan berikut:

    • Amazon Simple Storage Service (Amazon S3)

    • Amazon Elastic Compute Cloud (Amazon EC2)

    • Amazon SNS

    • Amazon Virtual Private Cloud (Amazon VPC)

    • AWS CloudFormation

    • AWS CloudTrail

    • Amazon CloudWatch

    • AWS Config

    • AWS Identity and Access Management (IAM)

    • AWS Lambda

    catatan

    Secara default, semua akun berlangganan layanan ini.

Pertimbangan untuk pelanggan AWS IAM Identity Center (IAM Identity Center)

  • Jika AWS IAM Identity Center (Pusat Identitas IAM) sudah disiapkan, Wilayah rumah AWS Control Tower harus sama dengan Wilayah Pusat Identitas IAM.

  • Pusat Identitas IAM hanya dapat diinstal di akun manajemen suatu organisasi.

  • Tiga opsi berlaku untuk direktori Pusat Identitas IAM Anda, berdasarkan sumber identitas yang Anda pilih:

    • Toko Pengguna Pusat Identitas IAM: Jika AWS Control Tower disiapkan dengan IAM Identity Center, AWS Control Tower membuat grup di direktori IAM Identity Center dan menyediakan akses ke grup ini, untuk pengguna yang Anda pilih, untuk akun anggota.

    • Active Directory: Jika IAM Identity Center untuk AWS Control Tower disiapkan dengan Active Directory, AWS Control Tower tidak mengelola direktori IAM Identity Center. Itu tidak menetapkan pengguna atau grup ke AWS akun baru.

    • Penyedia Identitas Eksternal: Jika Pusat Identitas IAM untuk AWS Control Tower disiapkan dengan penyedia identitas eksternal (iDP), AWS Control Tower membuat grup di direktori IAM Identity Center dan menyediakan akses ke grup ini untuk pengguna yang Anda pilih untuk akun anggota. Anda dapat menentukan pengguna yang sudah ada dari iDP eksternal Anda di Account Factory selama pembuatan akun, dan AWS Control Tower memberi pengguna ini akses ke akun yang baru dijual saat menyinkronkan pengguna dengan nama yang sama antara IAM Identity Center dan iDP eksternal. Anda juga dapat membuat grup di iDP eksternal agar sesuai dengan nama grup default di AWS Control Tower. Saat Anda menetapkan pengguna ke grup ini, pengguna ini akan memiliki akses ke akun terdaftar Anda.

    Untuk informasi selengkapnya tentang bekerja dengan IAM Identity Center dan AWS Control Tower, lihat Hal yang perlu diketahui tentang akun IAM Identity Center dan AWS Control Tower

Pertimbangan untuk AWS Config dan pelanggan AWS CloudTrail

  • Akses tepercaya Akun AWS tidak dapat diaktifkan di akun manajemen organisasi untuk AWS Config atau CloudTrail. Untuk informasi tentang cara menonaktifkan akses tepercaya, lihat AWS Organizations dokumentasi tentang cara mengaktifkan atau menonaktifkan akses tepercaya.

  • Jika Anda memiliki penyiapan AWS Config perekam, saluran pengiriman, atau agregasi yang ada di akun apa pun yang Anda rencanakan untuk didaftarkan di AWS Control Tower, Anda harus mengubah atau menghapus konfigurasi ini sebelum mulai mendaftarkan akun, setelah landing zone disiapkan. Pemeriksaan awal ini tidak berlaku untuk akun manajemen AWS Control Tower selama peluncuran landing zone. Untuk informasi selengkapnya, lihat Daftarkan akun yang memiliki sumber daya yang ada AWS Config.

  • Jika Anda menjalankan beban kerja sementara dari akun di AWS Control Tower, Anda mungkin melihat peningkatan biaya yang terkait dengan Config. AWS Hubungi perwakilan AWS akun Anda untuk informasi lebih spesifik tentang mengelola biaya ini.

  • Saat Anda mendaftarkan akun ke AWS Control Tower, akun Anda diatur oleh AWS CloudTrail jejak untuk organisasi AWS Control Tower. Jika Anda memiliki penerapan CloudTrail jejak yang ada di akun, Anda mungkin melihat biaya duplikat kecuali Anda menghapus jejak yang ada untuk akun tersebut sebelum Anda mendaftarkannya di AWS Control Tower. Untuk informasi tentang jalur tingkat organisasi dan AWS Control Tower, lihat. Harga

catatan

Saat diluncurkan, titik akhir AWS Security Token Service (STS) harus diaktifkan di akun manajemen, untuk semua Wilayah yang diatur oleh AWS Control Tower. Jika tidak, peluncuran mungkin gagal di tengah proses konfigurasi.