Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
OU bersarang di AWS Control Tower
Bab ini mencantumkan ekspektasi dan pertimbangan yang ingin Anda ketahui saat bekerja dengan OU bersarang di AWS Control Tower. Dalam kebanyakan hal, bekerja dengan OU bersarang sama dengan bekerja dengan struktur OU datar. Fitur Register and Re-register berfungsi dengan OU bersarang, kecuali untuk perubahan perilaku yang dicatat dalam Bab ini.
Panduan Video
Video ini (4:46) menjelaskan cara mengelola penerapan OU bersarang di AWS Control Tower. Untuk tampilan yang lebih baik, pilih ikon di sudut kanan bawah video untuk memperbesarnya ke layar penuh. Captioning tersedia.
Untuk panduan mengenai praktik terbaik untuk OU bersarang dan landing zone Anda, lihat posting blog Mengatur zona landing AWS Control Tower Anda dengan OU bersarang
Perluas dari struktur OU datar ke struktur OU bersarang
Jika Anda membuat landing zone AWS Control Tower dengan struktur OU datar, Anda dapat memperluasnya ke struktur OU bersarang.
Proses ini memiliki empat langkah utama:
-
Buat struktur OU bersarang yang Anda inginkan di AWS Control Tower.
-
Buka AWS Organizations konsol dan gunakan fitur pemindahan massal mereka untuk memindahkan akun dari sumber OU (datar) ke OU tujuan (bersarang). Begini caranya:
-
Pergi ke OU dari mana Anda ingin memindahkan akun.
-
Pilih semua akun di OU.
-
Pilih Pindah.
catatan
Langkah ini harus dilakukan di AWS Organizations konsol di karena AWS Control Tower tidak memiliki fitur Move.
-
-
Buka OU bersarang di AWS Control Tower dan Daftar atau daftarkan ulang. Semua akun di OU bersarang akan didaftarkan.
-
Jika Anda membuat OU di AWS Control Tower, daftarkan ulang OU.
-
Jika Anda membuat OU di AWS Organizations, Daftarkan OU untuk pertama kalinya.
-
-
Setelah akun Anda dipindahkan dan didaftarkan, hapus OU tingkat atas yang kosong, baik dari AWS Organizations konsol atau dari konsol AWS Control Tower.
Pra-cek pendaftaran OU bersarang
Untuk mendukung keberhasilan pendaftaran OU bersarang Anda dan akun anggotanya, AWS Control Tower melakukan serangkaian pra-pemeriksaan. Prakecek yang sama ini dilakukan saat mendaftarkan OU tingkat atas atau OU bersarang. Untuk informasi selengkapnya, lihat Penyebab umum kegagalan saat pendaftaran atau pendaftaran ulang.
-
Jika semua pra-pemeriksaan lulus, AWS Control Tower mulai mendaftarkan OU Anda, secara otomatis.
-
Jika ada pra-pemeriksaan yang gagal, AWS Control Tower menghentikan proses pendaftaran dan memberi Anda daftar item yang harus diperbaiki sebelum Anda dapat mendaftarkan OU Anda.
OU dan peran bersarang
AWS Control Tower menyebarkan AWSControlTowerExecution
peran ke akun di bawah target OU, dan ke akun di semua OU yang bersarang di bawah target OU, bahkan ketika niat Anda adalah mendaftarkan OU target saja. Peran ini memberikan setiap pengguna izin Administrator akun manajemen pada akun apa pun yang memiliki AWSControlTowerExecution
peran tersebut. Peran tersebut dapat digunakan untuk melakukan tindakan yang biasanya tidak diizinkan oleh kontrol AWS Control Tower.
Anda dapat menghapus peran ini dari akun yang tidak terdaftar yang tidak Anda rencanakan untuk didaftarkan. Jika Anda menghapus peran ini, Anda tidak dapat mendaftarkan akun dengan AWS Control Tower, atau mendaftarkan OU induk langsung, kecuali jika Anda mengembalikan peran tersebut ke akun. Untuk menghapus AWSControlTowerExecution
peran dari akun, Anda harus masuk di bawah AWSControlTowerExecution
peran, karena tidak ada prinsipal IAM lain yang diizinkan untuk menghapus peran yang dikelola oleh AWS Control Tower.
Untuk informasi tentang cara membatasi akses peran, lihat Ketentuan opsional untuk hubungan kepercayaan peran Anda.
Apa yang terjadi selama pendaftaran dan pendaftaran ulang OU dan akun bersarang
Saat Anda mendaftarkan atau mendaftarkan ulang OU bersarang, AWS Control Tower mendaftarkan semua akun OU target yang tidak terdaftar, dan akan memperbarui semua akun yang terdaftar. Inilah yang diharapkan.
AWS Control Tower melakukan tugas-tugas berikut
-
Menambahkan
AWSControlTowerExecution
peran ke semua akun yang tidak terdaftar di bawah OU ini, dan ke semua akun yang tidak terdaftar di OU bersarangnya. -
Mendaftarkan akun anggota yang tidak terdaftar.
-
Mendaftarkan kembali akun anggota terdaftar.
-
Membuat login IAM Identity Center untuk akun anggota yang baru terdaftar.
-
Memperbarui akun anggota terdaftar yang ada untuk mencerminkan perubahan landing zone Anda.
-
Pembaruan kontrol yang dikonfigurasi untuk OU ini dan akun anggotanya.
Pertimbangan untuk pendaftaran OU bersarang
-
Anda tidak dapat mendaftarkan OU di bawah inti OU (Security OU).
-
OU bersarang harus didaftarkan secara terpisah.
-
Anda tidak dapat mendaftarkan OU kecuali OU induknya terdaftar.
-
Anda tidak dapat mendaftarkan OU kecuali semua OU yang lebih tinggi di pohon telah berhasil terdaftar pada suatu waktu (beberapa mungkin telah dihapus).
-
Anda dapat mendaftarkan OU yang berada di bawah OU yang lebih tinggi yang melayang, tetapi drift tidak diperbaiki oleh tindakan itu.
Keterbatasan OU bersarang
-
OU dapat bersarang maksimal 5 tingkat jauh di bawah akar.
-
OU bersarang di bawah target OU harus didaftarkan atau didaftarkan ulang secara terpisah.
-
Jika target OU berada di Level 2 atau di bawah dalam hierarki, yaitu, jika bukan OU tingkat atas, kontrol pencegahan yang diaktifkan pada OU yang lebih tinggi diberlakukan pada OU ini dan semua OU di bawahnya, secara otomatis.
-
Kegagalan pendaftaran OU tidak menyebarkan pohon hierarki. Anda dapat melihat detail tentang status OU bersarang di halaman detail OU induk.
-
Kegagalan pendaftaran OU tidak menyebar ke bawah pohon hierarki.
-
AWS Control Tower tidak mengubah pengaturan VPC Anda untuk akun baru atau yang sudah ada.
OU bersarang dan kepatuhan
Dari konsol AWS Control Tower, Anda dapat melihat OU dan akun yang tidak sesuai di halaman Organisasi, sehingga Anda dapat memahami kepatuhan dalam skala yang lebih besar.
Pertimbangan tentang kepatuhan untuk OU dan akun bersarang
-
Kepatuhan OU tidak ditentukan berdasarkan kepatuhan OU yang bersarang di bawahnya.
-
Status kepatuhan kontrol dihitung atas semua OU tempat kontrol diaktifkan, termasuk OU bersarang. Lihat status kepatuhan AWS Control Tower untuk OU dan akunw.
-
OU ditampilkan sebagai tidak patuh hanya jika memiliki akun yang tidak patuh, terlepas dari di mana OU berada dalam hierarki OU.
-
Jika OU bersarang tidak patuh, OU induknya tidak secara otomatis dianggap tidak patuh.
-
Pada halaman detail OU atau detail Akun, Anda dapat melihat daftar sumber daya yang tidak sesuai yang mungkin menyebabkan OU atau akun Anda menunjukkan status yang tidak sesuai.
OU bersarang dan drift
Dalam situasi tertentu, drift dapat mencegah pendaftaran OU bersarang.
Harapan untuk OU drift dan bersarang
-
Anda dapat mengaktifkan kontrol pada OU dengan orang tua yang hanyut, tetapi tidak pada OU yang hanyut secara langsung.
-
Anda diizinkan untuk mengaktifkan kontrol detektif di bawah OU yang hanyut, selama itu bukan OU drifted tingkat atas.
-
Kontrol wajib diaktifkan hanya pada OU tingkat atas. Kontrol wajib dilewati saat Anda mendaftarkan OU bersarang.
-
Satu kontrol wajib melindungi AWS Config sumber daya; oleh karena itu, kontrol itu harus dalam keadaan tidak hanyut untuk mendaftarkan OU bersarang. Jika hanyut, AWS Control Tower memblokir pendaftaran OU bersarang.
-
Jika OU tingkat atas dalam drift, kontrol yang melindungi AWS Config sumber daya mungkin dalam drift. Dalam situasi ini, AWS Control Tower memblokir tindakan apa pun yang memerlukan pembuatan atau pembaruan AWS Config sumber daya, termasuk penerapan kontrol detektif.
OU dan kontrol bersarang
Ketika Anda mengaktifkan kontrol pada OU terdaftar, kontrol preventif dan detektif memiliki perilaku yang berbeda. Untuk OU bersarang, kontrol proaktif berperilaku mirip dengan kontrol detektif.
Kontrol preventif
-
Kontrol pencegahan ditegakkan pada OU bersarang.
-
Kontrol pencegahan wajib diberlakukan pada semua akun di bawah OU dan OU bersarangnya.
-
Kontrol preventif memengaruhi semua akun dan OU yang bersarang di bawah target OU, bahkan jika akun dan OU tersebut tidak terdaftar.
Detektif dan kontrol proaktif
-
OU bersarang tidak mewarisi kontrol detektif atau proaktif secara otomatis; ini harus diaktifkan secara terpisah.
-
Kontrol detektif dan proaktif hanya digunakan untuk akun terdaftar di Wilayah operasi zona pendaratan Anda.
Status kontrol dan pewarisan yang diaktifkan
Anda dapat melihat kontrol yang diwariskan untuk setiap OU, di halaman detail OU.
Tip
Anda dapat menggunakan warisan kontrol untuk membantu tetap berada dalam kuota SCP OU. Misalnya, Anda dapat mengaktifkan kontrol di OU tingkat atas hierarki OU, alih-alih mengaktifkan secara langsung untuk OU bersarang.
Status warisan
-
Status yang diwarisi menunjukkan bahwa kontrol diaktifkan oleh warisan saja, dan belum diterapkan langsung ke OU.
-
Status Diaktifkan berarti kontrol diberlakukan pada OU ini, terlepas dari statusnya di OU lainnya.
-
Status Gagal berarti kontrol tidak diberlakukan pada OU ini, terlepas dari statusnya di OU lainnya.
catatan
Status yang Diwarisi menunjukkan bahwa kontrol diterapkan ke OU yang lebih tinggi di pohon, dan diberlakukan pada OU ini, tetapi tidak ditambahkan langsung ke OU ini.
Jika landing zone Anda bukan versi saat ini
Setiap baris dalam tabel kontrol Diaktifkan mewakili satu kontrol yang diaktifkan pada satu, OU individu.
OU bersarang dan akarnya
Root bukan OU, dan tidak dapat didaftarkan atau didaftarkan ulang. Anda juga tidak dapat membuat akun langsung di root. Root tidak dapat tidak patuh atau memiliki status siklus hidup, seperti terdaftar atau dalam drift.
Namun, root adalah wadah tingkat atas untuk semua akun dan OU. Dalam konteks OU bersarang, itu adalah simpul di mana semua OU lainnya bersarang.