AWS Organizations bimbingan

AWS Control Tower terkait erat dengan AWS Organizations. Berikut adalah beberapa panduan khusus tentang bagaimana mereka bekerja sama terbaik untuk melindungi AWS lingkungan Anda.

Anda dapat menemukan panduan tentang praktik terbaik untuk melindungi keamanan akun manajemen AWS Control Tower dan akun anggota Anda dalam AWS Organizations dokumentasi.
- Praktik terbaik untuk akun manajemen
- Praktik terbaik untuk akun anggota
Jangan perbarui kebijakan kontrol layanan (SCPs) yang ada yang dilampirkan pada OU yang terdaftar di AWS Control Tower. Melakukannya dapat mengakibatkan kontrol memasuki status yang tidak diketahui, yang akan mengharuskan Anda untuk mengatur ulang landing zone atau mendaftarkan ulang OU Anda di AWS Control Tower. Sebagai gantinya, Anda dapat menggunakan AWS Organizations untuk membuat yang baru SCPs dan melampirkannya ke OUs alih-alih mengedit SCPs yang telah dibuat AWS Control Tower.
Memindahkan akun individu, yang sudah terdaftar, ke AWS Control Tower, dari luar OU terdaftar, menyebabkan penyimpangan yang harus diselesaikan. Lihat Jenis penyimpangan tata kelola.
Jika Anda menggunakannya AWS Organizations untuk membuat, mengundang, atau memindahkan akun dalam organisasi yang terdaftar di AWS Control Tower, akun tersebut tidak terdaftar oleh AWS Control Tower dan perubahan tersebut tidak dicatat. Jika Anda memerlukan akses ke akun ini melalui SSO, lihat Akses Akun Anggota.
Jika Anda menggunakannya AWS Organizations untuk memindahkan OU ke organisasi yang dibuat oleh AWS Control Tower, OU eksternal tidak terdaftar oleh AWS Control Tower.
AWS Control Tower menangani pemfilteran izin secara berbeda dari yang AWS Organizations dilakukan. Jika akun Anda disediakan dengan pabrik akun AWS Control Tower, pengguna akhir dapat melihat nama dan orang tua semuanya OUs di konsol AWS Control Tower, meskipun mereka tidak memiliki izin untuk mengambil nama dan orang tua tersebut secara langsung. AWS Organizations
AWS Control Tower tidak mendukung izin campuran pada organisasi, seperti izin untuk melihat induk OU tetapi tidak untuk melihat nama OU. Untuk alasan ini, administrator AWS Control Tower diharapkan memiliki izin penuh.
AWS Organizations FullAWSAccessSCP harus diterapkan dan tidak boleh digabungkan dengan yang lain. SCPs Perubahan pada SCP ini tidak dilaporkan sebagai drift; namun, beberapa perubahan dapat memengaruhi fungsionalitas AWS Control Tower dengan cara yang tidak dapat diprediksi, jika akses ke sumber daya tertentu ditolak. Misalnya, jika SCP terlepas, atau dimodifikasi, akun mungkin kehilangan akses ke AWS Config perekam atau membuat celah dalam CloudTrail pencatatan.
Jangan gunakan AWS Organizations DisableAWSServiceAccess API untuk mematikan akses layanan AWS Control Tower ke organisasi tempat Anda menyiapkan landing zone. Jika Anda melakukannya, fitur deteksi drift AWS Control Tower tertentu mungkin tidak berfungsi dengan baik tanpa dukungan pesan dari AWS Organizations. Fitur deteksi drift ini membantu menjamin AWS Control Tower dapat melaporkan status kepatuhan unit organisasi, akun, dan kontrol di organisasi Anda secara akurat. Untuk informasi selengkapnya, silakan lihat API_DisableAWSServiceAccess dalam Referensi AWS Organizations API.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Kapan harus masuk sebagai pengguna root

Panduan Pusat Identitas IAM