Se gestisci risorse al di fuori di AWS Control Tower - AWS Control Tower

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Se gestisci risorse al di fuori di AWS Control Tower

AWS Control Tower configura account, unità organizzative e altre risorse per tuo conto, ma tu sei il proprietario di queste risorse. Puoi modificare queste risorse all'interno o all'esterno di AWS Control Tower. Il modo più comune per modificare le risorse al di fuori di AWS Control Tower è la AWS Organizations console. Questo argomento descrive come riconciliare le modifiche alle risorse AWS Control Tower quando le apporti al di fuori di AWS Control Tower.

La ridenominazione, l'eliminazione e lo spostamento di risorse all'esterno della console AWS Control Tower causano la mancata sincronizzazione della console. Molte modifiche possono essere riconciliate automaticamente. Alcune modifiche richiedono il ripristino della landing zone per aggiornare le informazioni visualizzate nella console AWS Control Tower.

In generale, le modifiche apportate all'esterno della console AWS Control Tower alle risorse AWS Control Tower creano uno stato di deriva risolvibile nella tua landing zone. Per ulteriori informazioni su queste modifiche, vedi Modifiche riparabili alle risorse.

Attività che richiedono il ripristino della landing zone
  • Eliminazione dell'unità organizzativa di sicurezza (un caso speciale, da non fare alla leggera).

  • Rimozione di un account condiviso dall'unità organizzativa di sicurezza (non consigliata).

  • Aggiornamento, collegamento o scollegamento di un SCP associato all'unità organizzativa di sicurezza.

Modifiche aggiornate automaticamente da AWS Control Tower
  • Modifica dell'indirizzo email di un account registrato

  • Ridenominazione di un account registrato

  • Creazione di una nuova unità organizzativa (OU) di primo livello

  • Ridenominazione di un'unità organizzativa registrata

  • Eliminazione di un'unità organizzativa registrata (ad eccezione dell'unità organizzativa di sicurezza, che richiede un aggiornamento).

  • Eliminazione di un account registrato (ad eccezione di un account condiviso nell'unità organizzativa di sicurezza).

Nota

AWS Service Catalog gestisce le modifiche in modo diverso rispetto ad AWS Control Tower. AWS Service Catalog può creare un cambiamento nella posizione di governance quando riconcilia le modifiche. Per ulteriori informazioni sull'aggiornamento di un prodotto fornito, consulta la sezione Aggiornamento dei prodotti forniti nella documentazione. AWS Service Catalog

Riferimento a risorse esterne a AWS Control Tower

Quando crei nuove unità organizzative e account al di fuori di AWS Control Tower, questi non sono governati da AWS Control Tower, anche se possono essere visualizzati.

Creazione di una UO

Le unità organizzative (OU) create al di fuori di AWS Control Tower vengono chiamate non registrate. Vengono visualizzati nella pagina Organizzazione, ma non sono regolati dai controlli di AWS Control Tower.

Creazione di un account

Gli account creati al di fuori di AWS Control Tower vengono definiti non registrati. Gli account registrati e non registrati che appartengono a un'unità organizzativa registrata con AWS Control Tower vengono visualizzati nella pagina Organizzazione. Gli account che non appartengono a un'unità organizzativa registrata possono essere invitati utilizzando la console. AWS Organizations Questo invito a partecipare non registra l'account in AWS Control Tower né estende la governance di AWS Control Tower all'account. Per estendere la governance registrando l'account, vai alla pagina Organizzazione o alla pagina dei dettagli dell'account in AWS Control Tower e scegli Enroll account.

Modifica esterna dei nomi delle risorse AWS Control Tower

Puoi modificare i nomi delle unità organizzative (OU) e degli account al di fuori della console AWS Control Tower e la console si aggiorna automaticamente per riflettere tali modifiche.

Ridenominazione di una UO

In AWS Organizations, puoi modificare il nome di un'unità organizzativa utilizzando l' AWS Organizations API o la console. Quando si modifica il nome di un'unità organizzativa al di fuori di AWS Control Tower, la console AWS Control Tower riflette automaticamente la modifica del nome. Tuttavia, se effettui il provisioning dei tuoi account utilizzando AWS Service Catalog, devi anche reimpostare la landing zone per assicurarti che AWS Control Tower rimanga coerente con AWS Organizations. Il flusso di lavoro Reset garantisce la coerenza tra i servizi per le unità organizzative fondamentali e aggiuntive. È possibile risolvere questo tipo di deriva dalla pagina delle impostazioni della zona di atterraggio. Vedi la sezione chiamata «Risolvere la deriva» in. Rileva e risolvi la deriva in AWS Control Tower

AWS Control Tower visualizza i nomi delle unità organizzative nella pagina Organizzazione nella dashboard di AWS Control Tower. Puoi vedere quando l'operazione di ripristino della landing zone è riuscita.

Ridenominazione di un account registrato

Ogni AWS account ha un nome visualizzato che può essere modificato dall'utente root dell'account nella AWS Billing and Cost Management console. Quando rinomini un account registrato in AWS Control Tower, la modifica del nome si riflette automaticamente in AWS Control Tower. Per ulteriori informazioni sulla modifica del nome di un account, consulta Managing an AWS account nella AWS Billing User Guide.

Eliminazione dell'unità organizzativa di sicurezza

Questo tipo di deviazione è un caso speciale. Se elimini la Security OU, vedrai una pagina con un messaggio di errore che ti chiede di reimpostare la landing zone. Devi reimpostare la landing zone prima di poter intraprendere qualsiasi altra azione in AWS Control Tower.

  • Non sarà possibile eseguire alcuna azione nella console AWS Control Tower e non sarà possibile creare nuovi account AWS Service Catalog fino al completamento del ripristino.

  • Non sarai in grado di visualizzare la pagina delle impostazioni della zona di atterraggio, dove troverai il pulsante Reset.

In questa situazione, il processo di ripristino della landing zone crea una nuova unità organizzativa di sicurezza e sposta i due account condivisi nella nuova unità organizzativa di sicurezza. AWS Control Tower contrassegna gli account Log Archive e Audit come deviati. Lo stesso processo risolve il problema di questi account.

Se ritieni necessario eliminare l'unità organizzativa di sicurezza, ecco cosa devi sapere:

Prima di poter eliminare l'unità organizzativa di sicurezza, è necessario assicurarsi che non contenga account. In particolare, è necessario rimuovere gli account Log Archive e Audit dall'unità organizzativa. Si consiglia di spostare questi account in un'altra unità organizzativa.

Nota

L'operazione di eliminazione dell'unità organizzativa di sicurezza non deve essere eseguita senza la dovuta considerazione. L'azione potrebbe creare problemi di conformità se la registrazione viene sospesa temporaneamente e perché alcuni controlli potrebbero non essere applicati.

Per informazioni generali sulla deviazione, consultare “Risoluzione della deviazione” in Rileva e risolvi la deriva in AWS Control Tower.

Rimozione di un account dall'unità organizzativa di sicurezza

Non è consigliabile rimuovere gli account condivisi dall'organizzazione o spostarli dall'unità organizzativa di sicurezza. Se hai rimosso accidentalmente un account condiviso, puoi seguire i passaggi di riparazione descritti in questa sezione per ripristinare l'account.

  • Dalla console AWS Control Tower: per avviare il processo di riparazione, segui i passaggi di riparazione semimanuali. Assicurati che l'utente o il ruolo che utilizzi per accedere alla console AWS Control Tower disponga delle autorizzazioni per l'esecuzioneorganizations:InviteAccountToOrganization. Se non disponi di tali autorizzazioni, segui i passaggi di riparazione manuale, che utilizzano sia la console AWS Control Tower che la AWS Organizations console.

  • A partire dalla AWS Organizations console: questo processo di riparazione è una procedura leggermente più lunga e completamente manuale. Quando segui i passaggi di riparazione manuale, passerai dalla AWS Organizations console alla console AWS Control Tower. Quando lavori in AWS Organizations, avrai bisogno di un utente o di un ruolo con la policy AWSOrganizationsFullAccess gestita o equivalente. Quando lavori nella console AWS Control Tower, avrai bisogno di un utente o di un ruolo con la policy AWSControlTowerServiceRolePolicy gestita o equivalente e l'autorizzazione per eseguire tutte le azioni AWS Control Tower (controltower: *).

  • Se le procedure di riparazione non ripristinano l'account, contatta. AWS Support

I risultati della rimozione di un account condiviso tramite AWS Organizations:
  • L'account non è più protetto dai controlli obbligatori di AWS Control Tower con policy di controllo dei servizi (SCP). Risultato: le risorse create da AWS Control Tower nell'account possono essere modificate o eliminate.

  • L'account non è più associato all'account AWS Organizations di gestione. Risultato: l'amministratore dell'account di AWS Organizations gestione non ha più visibilità sulla spesa dell'account.

  • Non è più garantito il monitoraggio dell'account da AWS Config. Risultato: l'amministratore dell'account di AWS Organizations gestione potrebbe non essere in grado di rilevare le modifiche alle risorse.

  • L'account non è più presente nell'organizzazione. Risultato: gli aggiornamenti e il ripristino di AWS Control Tower falliranno.

Per ripristinare un account condiviso utilizzando la console AWS Control Tower (procedura semi-manuale)
  1. Accedi alla console AWS Control Tower all'indirizzo https://console.aws.amazon.com/controltower. Devi accedere come utente IAM, utente in IAM Identity Center o ruolo con autorizzazioni di esecuzioneorganizations:InviteAccountToOrganization. Se non disponi di tali autorizzazioni, utilizza la procedura di riparazione manuale descritta più avanti in questo argomento.

  2. Nella pagina Landing Zone Detected, scegli Re-Invita per rimediare alla rimozione dell'account condiviso invitando nuovamente l'account condiviso a far parte dell'organizzazione. Un'e-mail generata automaticamente viene inviata all'indirizzo e-mail dell'account.

  3. Accetta l'invito a riportare l'account condiviso nell'organizzazione. Esegui una di queste operazioni:

    • Accedi all'account condiviso che è stato rimosso, quindi vai a https://console.aws.amazon.com/organizations/home#/invites

    • Se hai accesso al messaggio e-mail inviato quando hai nuovamente invitato l'account, accedi all'account rimosso, quindi fai clic sul link contenuto nel messaggio per accedere direttamente all'invito all'account.

    • Se l'account condiviso che è stato rimosso non appartiene a un'altra organizzazione, accedi all'account, apri la AWS Organizations console e vai a Inviti.

  4. Accedi nuovamente all'account di gestione o ricarica la console AWS Control Tower se è già aperta. Verrà visualizzata la pagina Landing zone drift. Scegli Reset per ripristinare la landing zone.

  5. Attendi il completamento del processo di ripristino.

Se la riparazione ha esito positivo, l'account condiviso appare in uno stato e in conformità normali.

Se le procedure di riparazione non ripristinano l'account, contatta. AWS Support

Per ripristinare un account condiviso utilizzando AWS Control Tower e AWS Organizations console (riparazione manuale)
  1. Accedi alla AWS Organizations console all'indirizzo. https://console.aws.amazon.com/organizations/ Devi accedere come utente IAM, utente in IAM Identity Center o ruolo con la policy AWSOrganizationsFullAccess gestita o equivalente.

  2. Invita l'account condiviso a rientrare nell'organizzazione. Per informazioni sui requisiti, i prerequisiti e la procedura per invitare un account a AWS Organizations, vedi Invitare un AWS account alla tua organizzazione nella Guida per l'AWS Organizations utente.

  3. Accedi all'account condiviso che è stato rimosso, quindi vai su https://console.aws.amazon.com/organizations/home#/invites per accettare l'invito.

  4. Accedi nuovamente all'account di gestione.

  5. Accedi alla console AWS Control Tower come utente o ruolo con la policy AWSControlTowerServiceRolePolicy gestita o equivalente e le autorizzazioni per eseguire tutte le azioni AWS Control Tower (controltower: *).

  6. Vedrai la pagina Landing zone drift con un'opzione per reimpostare la landing zone. Scegli Reset per ripristinare la landing zone.

  7. Attendi il completamento del processo di ripristino.

Se la riparazione ha esito positivo, l'account condiviso appare in uno stato e in conformità normali.

Se le procedure di riparazione non ripristinano l'account, contatta. AWS Support

Modifiche esterne che vengono aggiornate automaticamente

Le modifiche apportate agli indirizzi e-mail del tuo account vengono aggiornate automaticamente da AWS Control Tower, ma Account Factory non le aggiorna automaticamente.

Modifica dell'indirizzo email di un account sottoposto a governance

AWS Control Tower recupera e visualizza gli indirizzi e-mail come richiesto dall'esperienza della console. Pertanto, gli indirizzi e-mail condivisi e gli altri account vengono aggiornati e visualizzati in modo coerente in AWS Control Tower dopo averli modificati.

Nota

In AWS Service Catalog, Account Factory visualizza i parametri specificati nella console al momento della creazione di un prodotto fornito. Tuttavia, l'indirizzo email dell'account originale non viene aggiornato automaticamente quando l'indirizzo email dell'account cambia. Questo perché l'account è concettualmente contenuto all'interno del prodotto di cui è stato eseguito il provisioning; non è lo stesso del prodotto di cui è stato eseguito il provisioning. Per aggiornare questo valore, è necessario aggiornare il prodotto con provisioning, che può causare una modifica nella governance.

Applicazione di regole esterne AWS Config

AWS Control Tower mostra lo stato di conformità di tutte AWS Config le regole distribuite nelle unità organizzative registrate con AWS Control Tower, incluse le regole attivate al di fuori della console AWS Control Tower.

Eliminazione di risorse AWS Control Tower all'esterno di AWS Control Tower

Puoi eliminare unità organizzative e account in AWS Control Tower e non è necessario intraprendere ulteriori azioni per visualizzare gli aggiornamenti. Account Factory viene aggiornato automaticamente quando si elimina un'unità organizzativa, ma non quando si elimina un account.

Eliminazione di un'unità organizzativa registrata (ad eccezione dell'unità organizzativa di sicurezza)

All'interno AWS Organizations, è possibile rimuovere le unità organizzative (OU) vuote utilizzando l'API o la console. Le unità organizzative che contengono account non possono essere eliminate.

AWS Control Tower riceve una notifica AWS Organizations quando un'unità organizzativa viene eliminata. Aggiorna l'elenco delle unità organizzative in Account Factory, in modo che l'elenco delle unità organizzative registrate rimanga coerente.

Nota

Nel AWS Service Catalog, Account Factory viene aggiornato per rimuovere l'unità organizzativa eliminata dall'elenco delle unità organizzative disponibili in cui è possibile effettuare il provisioning di un account.

Eliminazione di un account registrato da un'unità organizzativa

Quando elimini un account registrato, AWS Control Tower riceve una notifica e apporta aggiornamenti, in modo che le informazioni rimangano coerenti.

Nota

Nel AWS Service Catalog, il prodotto fornito da Account Factory che rappresenta l'account gestito non viene aggiornato per eliminare l'account. Al contrario, il prodotto sottoposto a provisioning viene visualizzato come TAINTED e in uno stato di errore. Per eseguire la pulizia, passare a AWS Service Catalog, scegliere il prodotto di cui è stato eseguito il provisioning, quindi scegliere Terminate (Termina).