Menyebarkan AWS Control Tower di organisasi Zona AWS Pendaratan - AWS Bimbingan Preskriptif
Mendaftarkan AWS akun yang ada AWS Control Tower di organisasi yang adaMendaftarkan AWS akun dari organisasi yang ada ke AWS Control Tower dalam organisasi baru

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyebarkan AWS Control Tower di organisasi Zona AWS Pendaratan

Skenario ini merinci langkah-langkah yang terlibat dalam penerapan AWS Control Tower di AWS Organizations organisasi yang saat ini menjalankan solusi Zona AWS Pendaratan.

  1. Pastikan Anda dapat membuat dua akun baru tanpa melebihi kuota layanan saat ini. Jika perlu, kuota layanan permintaan meningkat. Akun baru akan digunakan sebagai bagian dari AWS Control Tower penyebaran kecuali Anda menggunakan akun yang ada dari landing zone yang Anda gunakan untuk AWS Landing Zone.

  2. Jika saat ini Anda menggunakan AWS IAM Identity Center, terapkan AWS Control Tower di AWS Wilayah yang sama di mana Pusat IAM Identitas dikonfigurasi.

  3. Di AWS Organizations konsol, pilih Nonaktifkan akses tepercaya untuk AWS Config dan AWS CloudTrail layanan jika diaktifkan. Untuk informasi lebih lanjut, lihat dokumentasi AWS.

  4. Menyebarkan AWS Control Tower. Untuk informasi lebih lanjut, lihat dokumentasi AWS.

Inilah yang diharapkan ketika Anda mengatur AWS Control Tower landing zone di organisasi yang sudah ada.

  • Anda dapat memiliki satu landing zone di setiap AWS Organizations organisasi.

  • AWS Control Tower menggunakan akun manajemen dari AWS Organizations organisasi Anda yang ada sebagai akun manajemennya. Tidak diperlukan akun manajemen baru.

  • AWS Control Tower menyiapkan dua akun baru di OU Keamanan terdaftar: akun audit dan akun arsip log, kecuali jika Anda menggunakan akun yang ada selama penyiapan. Jika Anda menggunakan akun yang ada, AWS Control Tower akan memindahkan audit dan log akun arsip di bawah OU yang Anda buat selama AWS Control Tower penyebaran.

  • Kuota layanan organisasi Anda harus memadai untuk pembuatan dua akun tambahan ini.

  • Setelah peluncuran, AWS Control Tower pagar pembatas berlaku secara otomatis ke akun di OU itu.

  • Anda dapat mendaftarkan AWS akun tambahan yang ada ke dalam OU yang diatur oleh AWS Control Tower, sehingga pagar pembatas berlaku untuk akun tersebut.

Jika Anda ingin mendaftarkan AWS akun yang ada atau OUs masuk AWS Control Tower setelah disiapkan, lihat bagian Mendaftarkan AWS akun yang ada AWS Control Tower di organisasi yang ada di panduan ini.

Mendaftarkan AWS akun yang ada AWS Control Tower di organisasi yang ada

Anda dapat memperluas AWS Control Tower tata kelola ke AWS akun individu yang ada saat Anda mendaftarkannya ke unit organisasi (OU) yang sudah diatur oleh. AWS Control Tower Akun yang memenuhi syarat ada di tidak terdaftar OUs yang merupakan bagian dari AWS Organizations organisasi yang sama dengan AWS Control Tower OU.

Anda dapat mendaftarkan OU ke AWS Control Tower dari AWS Control Tower konsol. Ketika Anda mendaftarkan OU, AWS Control Tower akan mendaftarkan semua akun di bawah OU ke AWS Control Tower.

Sebaiknya daftarkan OU, alih-alih mendaftarkan akun individual. Manfaat dari pendekatan ini adalah bahwa ID OU tidak berubah. Jika Anda memiliki kebijakan atau aturan yang menggunakan ID OU, Anda tidak perlu melakukan perubahan apa pun.

Sebelum Anda mendaftarkan AWS akun AWS Control Tower, hapus instance AWS CloudFormation tumpukan dari kumpulan tumpukan bernama. AWS-Landing-Zone-Baseline-EnableConfig Di setiap akun yang ingin Anda daftarkan, di setiap AWS Wilayah tempat AWS Control Tower digunakan, Anda harus menghapus instance AWS-Landing-Zone-Baseline-EnableConfig tumpukan. Karena menghapus kumpulan tumpukan lengkap membutuhkan waktu, sebaiknya hapus instance tumpukan hanya untuk akun yang Anda daftarkan. Idealnya, menghapus instance tumpukan untuk akun tertentu akan mengakibatkan penghapusan AWS Config perekam dan saluran pengiriman. Anda dapat memverifikasi penghapusan dengan menjalankan perintah berikut untuk akun itu.


      aws configservice describe-configuration-recorders --region <region_name>     
      aws configservice describe-delivery-channels --region <region_name>

Gunakan fitur AWS Control Tower Register OU dari AWS Control Tower konsol

Sebelum Anda mendaftarkan seluruh OU yang memiliki AWS akun yang ada, pastikan untuk melakukan hal berikut:

  • Hapus saluran AWS Config perekam dan pengiriman dari semua Wilayah semua akun di bawah OU itu, seperti yang disebutkan sebelumnya.

Untuk informasi selengkapnya, lihat Mendaftarkan unit organisasi yang ada dengan AWS Control Tower.

Setelah akun terdaftar AWS Control Tower, Anda akan melihat produk lain yang disediakan di Service Catalog untuk akun yang Anda daftarkan. Nama produk yang disediakan akan diawali dengan Daftar-. Ini berarti Anda sekarang memiliki dua produk yang disediakan di Service Catalog untuk satu akun:

  • Satu produk yang disediakan dari AWS Landing Zone Account Vending Machine

  • Satu produk yang disediakan dari pendaftaran ke AWS Control Tower

Anda memiliki opsi untuk menghentikan produk yang disediakan untuk akun dari Zona AWS Pendaratan, tetapi kami sarankan Anda menunggu sampai setelah menyelesaikan transisi.

Saat Anda menghentikan produk yang disediakan untuk akun yang dijual di lingkungan Zona AWS Pendaratan, Terminate operasi akan mulai menghapus kumpulan AWS CloudFormation tumpukan dasar terkait, yang mungkin ingin Anda pertahankan. Pastikan untuk menilai set tumpukan dasar di manifest.yaml, dan pahami implikasi dari penghapusan kumpulan tumpukan. Jika Anda memiliki sumber daya dalam kumpulan tumpukan yang ingin Anda pertahankan, hindari menghapus produk yang disediakan. Penghapusan sebagian akan membuat produk yang disediakan dalam status Tercemar di konsol Service Catalog.

Atau, Anda dapat menyimpan produk yang disediakan yang dibuat oleh Account Vending Machine dari AWS Landing Zone.

Mendaftarkan AWS akun dari organisasi yang ada ke AWS Control Tower dalam organisasi baru

Anda mungkin ingin menerapkan AWS Control Tower di AWS Organizations organisasi baru. Untuk mengatur AWS Control Tower di organisasi baru, selesaikan langkah-langkah berikut:

  1. Buat AWS akun baru.

  2. Terapkan AWS Control Tower di akun yang baru dibuat.

  3. Untuk memigrasikan AWS akun dari organisasi yang ada ke organisasi baru tempat Anda digunakan AWS Control Tower, lihat petunjuknya. Penting untuk meninjau dan memahami semua akses akun, penagihan, lisensi, dan pertimbangan pajak yang tercakup.

  4. Untuk memahami proses migrasi AWS akun antar organisasi, lihat Memigrasi akun antara AWS Organizations dengan penagihan konsolidasi ke semua fitur posting blog.

  5. Mulai mendaftarkan AWS akun di AWS Control Tower. Untuk melakukan pendaftaran, lihat bagian Mendaftarkan AWS akun yang ada AWS Control Tower di organisasi yang ada.