Linee guida per la creazione e la modifica delle risorse AWS Control Tower - AWS Control Tower

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Linee guida per la creazione e la modifica delle risorse AWS Control Tower

Consigliamo le seguenti best practice per creare e modificare risorse in AWS Control Tower. Queste linee guida potrebbero cambiare quando il servizio viene aggiornato. Ricorda che il modello di responsabilità condivisa si applica al tuo ambiente AWS Control Tower.

Informazioni generali

  • Non modificare o eliminare alcuna risorsa creata da AWS Control Tower, incluse le risorse nell'account di gestione, negli account condivisi e negli account dei membri. Se modifichi queste risorse, ti potrebbe essere richiesto di aggiornare la landing zone o registrare nuovamente un'unità organizzativa e la modifica può comportare rapporti di conformità imprecisi.

    In particolare:

    • Mantieni un AWS Config registratore attivo. Se elimini il tuo registratore Config, i controlli investigativi non possono rilevare e segnalare la deriva. Le risorse non conformi possono essere segnalate come conformi a causa di informazioni insufficienti.

    • Non modificare o eliminare i AWS Identity and Access Management (IAM) ruoli creati all'interno degli account condivisi nell'unità organizzativa (OU) di sicurezza. La modifica di questi ruoli può richiedere l'aggiornamento della landing zone.

    • Non eliminate il AWSControlTowerExecution ruolo dai vostri account membro, nemmeno negli account non registrati. Se lo fai, non potrai registrare questi account con AWS Control Tower o registrare il genitore OUs diretto.

  • Non impedirne l'utilizzo Regioni AWS tramite SCPs o AWS Security Token Service ()AWS STS. In questo modo AWS Control Tower entrerà in uno stato indefinito. Se non autorizzi l'opzione Regioni con AWS STS, la funzionalità non funzionerà in quelle aree, poiché l'autenticazione non sarebbe disponibile in quelle aree. Affidati invece alla capacità di negazione della regione di AWS Control Tower, come illustrato nel controllo, Deny access to in AWS base alla richiesta Regione AWS, che funziona a livello di landing zone, o alla Region di controllo nega il controllo applicata all'unità organizzativa, che funziona a livello di unità organizzativa per limitare l'accesso alle regioni.

  • AWS Organizations FullAWSAccessSCPDeve essere applicata e non deve essere unita ad altre. SCPs Le modifiche apportate non SCP vengono segnalate come deviazioni; tuttavia, alcune modifiche possono influire sulla funzionalità AWS Control Tower in modi imprevedibili, se l'accesso a determinate risorse viene negato. Ad esempio, se SCP viene scollegato o modificato, un account potrebbe perdere l'accesso a un AWS Config registratore o creare una lacuna nella registrazione. CloudTrail

  • Non utilizzare il pulsante AWS Organizations DisableAWSServiceAccess API per disattivare l'accesso al servizio AWS Control Tower all'organizzazione in cui hai impostato la landing zone. In tal caso, alcune funzionalità di rilevamento della deriva del AWS Control Tower potrebbero non funzionare correttamente senza il supporto di messaggistica di. AWS Organizations Queste funzionalità di rilevamento delle deviazioni aiutano a garantire che AWS Control Tower possa riportare in modo accurato lo stato di conformità delle unità organizzative, degli account e dei controlli dell'organizzazione. Per ulteriori informazioni, consulta API_DisableAWSServiceAccess nel AWS Organizations API Reference.

  • In generale, AWS Control Tower esegue una singola azione alla volta, che deve essere completata prima che possa iniziare un'altra azione. Ad esempio, se si tenta di effettuare il provisioning di un account mentre il processo di attivazione di un controllo è già in corso, il provisioning dell'account avrà esito negativo.

    Eccezione:

    • AWSControl Tower consente azioni simultanee per implementare controlli opzionali. Per ulteriori informazioni, consulta Distribuzione simultanea per i controlli opzionali.

    • AWSControl Tower consente fino a dieci azioni simultanee di creazione, aggiornamento o registrazione sugli account, con Account Factory.

Nota

Per ulteriori informazioni sulle risorse create da AWS Control Tower, vedereCosa sono gli account condivisi?.

Suggerimenti sugli account e OUs

  • Si consiglia di mantenere ogni unità organizzativa registrata fino a un massimo di 1000 account, in modo da poter aggiornare tali account con la funzionalità di nuova registrazione dell'unità organizzativa ogni volta che sono necessari aggiornamenti degli account, ad esempio quando si configurano nuove regioni per la governance.

  • Per ridurre il tempo necessario per la registrazione di un'unità organizzativa, si consiglia di mantenere il numero di account per unità organizzativa a circa 680, anche se il limite è di 1000 account per unità organizzativa. Come regola generale, il tempo necessario per registrare un'unità organizzativa aumenta in base al numero di regioni in cui opera l'unità organizzativa, moltiplicato per il numero di account nell'unità organizzativa.

  • Secondo le stime, un'unità organizzativa con 680 account può richiedere fino a 2 ore per la registrazione e l'attivazione dei controlli e fino a 1 ora per la nuova registrazione. Inoltre, un'unità organizzativa con molti controlli richiede più tempo per la registrazione rispetto a un'unità organizzativa con pochi controlli.

  • Una delle preoccupazioni legate alla concessione di un periodo di tempo più lungo per la registrazione di un'unità organizzativa è che questo processo blocca altre azioni. Alcuni clienti sono disposti a concedere tempi più lunghi per registrare o registrare nuovamente un'unità organizzativa, perché preferiscono consentire più account in ciascuna unità organizzativa.