Linee guida per la creazione e la modifica delle risorse AWS Control Tower - AWS Control Tower

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Linee guida per la creazione e la modifica delle risorse AWS Control Tower

Consigliamo le seguenti best practice per creare e modificare risorse in AWS Control Tower. Queste linee guida potrebbero cambiare quando il servizio viene aggiornato. Ricorda che il modello di responsabilità condivisa si applica al tuo ambiente AWS Control Tower.

Informazioni generali

  • Non modificare o eliminare alcuna risorsa creata da AWS Control Tower, incluse le risorse nell'account di gestione, negli account condivisi e negli account dei membri. Se modifichi queste risorse, ti potrebbe essere richiesto di aggiornare la landing zone o registrare nuovamente un'unità organizzativa e la modifica può comportare rapporti di conformità imprecisi.

    In particolare:

    • Mantieni attivo AWS Config registratore. Se elimini il tuo registratore Config, i controlli investigativi non possono rilevare e segnalare la deriva. Le risorse non conformi possono essere segnalate come conformi a causa di informazioni insufficienti.

    • Non modificare o eliminare il AWS Identity and Access Management (IAM) ruoli creati all'interno degli account condivisi nell'unità organizzativa (OU) di sicurezza. La modifica di questi ruoli può richiedere l'aggiornamento della landing zone.

    • Non eliminate il AWSControlTowerExecution ruolo dai vostri account membro, nemmeno negli account non registrati. Se lo fai, non sarai in grado di registrare questi account con AWS Control Tower o registrare il genitore OUs diretto.

  • Non vietate l'utilizzo di nessuno Regioni AWS tramite uno o SCPs AWS Security Token Service (AWS STS). In questo modo AWS Control Tower entrerà in uno stato indefinito. Se non consentite Regioni con AWS STS, la funzionalità non sarà disponibile in tali aree, poiché l'autenticazione non sarebbe disponibile in tali aree. Affidati invece alla funzionalità di negazione della regione AWS Control Tower, come mostrato nel controllo, Deny access to AWS in base alla richiesta Regione AWS, che funziona a livello di landing zone, oppure la regione di controllo nega il controllo applicato all'unità organizzativa, che opera a livello di unità organizzativa per limitare l'accesso alle regioni.

  • Il AWS Organizations FullAWSAccessSCPdeve essere applicato e non deve essere unito ad altri. SCPs Le modifiche apportate non SCP vengono segnalate come deviazioni; tuttavia, alcune modifiche possono influire sulla funzionalità AWS Control Tower in modi imprevedibili, se l'accesso a determinate risorse viene negato. Ad esempio, se SCP viene scollegato o modificato, un account potrebbe perdere l'accesso a AWS Config registratore o creare una lacuna nella CloudTrail registrazione.

  • Non utilizzare il AWS Organizations DisableAWSServiceAccessAPIper disattivare l'accesso al servizio AWS Control Tower all'organizzazione in cui hai impostato la landing zone. In tal caso, alcune funzionalità di rilevamento della deriva del AWS Control Tower potrebbero non funzionare correttamente senza il supporto di messaggistica di AWS Organizations. Queste funzionalità di rilevamento delle deviazioni aiutano a garantire che AWS Control Tower sia in grado di riportare in modo accurato lo stato di conformità delle unità organizzative, degli account e dei controlli dell'organizzazione. Per ulteriori informazioni, consulta API_DisableAWSServiceAccess nel AWS Organizations APIRiferimento.

  • In generale, AWS Control Tower esegue una singola azione alla volta, che deve essere completata prima che possa iniziare un'altra azione. Ad esempio, se si tenta di effettuare il provisioning di un account mentre il processo di attivazione di un controllo è già in corso, il provisioning dell'account avrà esito negativo.

    Eccezione:

    • AWSControl Tower consente azioni simultanee per implementare controlli opzionali. Per ulteriori informazioni, consulta Distribuzione simultanea per i controlli opzionali.

    • AWSControl Tower consente fino a dieci azioni simultanee di creazione, aggiornamento o registrazione sugli account, con Account Factory.

Nota

Per ulteriori informazioni sulle risorse create da AWS Control Tower, vedereCosa sono gli account condivisi?.

Suggerimenti sugli account e OUs

  • Si consiglia di mantenere ogni unità organizzativa registrata per un massimo di 300 account, in modo da poter aggiornare tali account con la funzionalità di nuova registrazione dell'unità organizzativa ogni volta che sono necessari aggiornamenti degli account, ad esempio quando si configurano nuove regioni per la governance.

  • Per ridurre il tempo necessario per la registrazione di un'unità organizzativa, si consiglia di mantenere il numero di account per unità organizzativa a circa 150, anche se il limite è di 300 account per unità organizzativa. Come regola generale, il tempo necessario per registrare un'unità organizzativa aumenta in base al numero di regioni in cui opera l'unità organizzativa, moltiplicato per il numero di account nell'unità organizzativa.

  • Secondo le stime, un'unità organizzativa con 150 account richiede circa 2 ore per la registrazione e l'attivazione dei controlli e circa 1 ora per la nuova registrazione. Inoltre, un'unità organizzativa con molti controlli richiede più tempo per la registrazione rispetto a un'unità organizzativa con pochi controlli.

  • Una delle preoccupazioni legate alla concessione di un periodo di tempo più lungo per la registrazione di un'unità organizzativa è che questo processo blocca altre azioni. Alcuni clienti sono disposti a concedere tempi più lunghi per registrare o registrare nuovamente un'unità organizzativa, perché preferiscono consentire più account in ciascuna unità organizzativa.