Prerequisito: controlli automatici prima del lancio per il tuo account di gestione - AWS Control Tower
Considerazioni per i clienti AWS IAM Identity Center (IAM Identity Center)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prerequisito: controlli automatici prima del lancio per il tuo account di gestione

Prima di configurare la landing zone, AWS Control Tower esegue automaticamente una serie di controlli pre-lancio sul tuo account. Non è richiesta alcuna azione da parte tua per questi controlli, che assicurano che il tuo account di gestione sia pronto per le modifiche che stabiliscono la tua landing zone. Ecco i controlli che AWS Control Tower esegue prima di configurare una landing zone:

  • I limiti di servizio esistenti per il Account AWS devono essere sufficienti per il lancio di AWS Control Tower. Per ulteriori informazioni, consulta Limitazioni e quote in AWS Control Tower.

  • Account AWS Devono essere abbonati ai seguenti AWS servizi:

    • Amazon Simple Storage Service (Amazon S3)

    • Amazon Elastic Compute Cloud (Amazon EC2)

    • Amazon SNS

    • Amazon Virtual Private Cloud (Amazon VPC) (Amazon VPC)

    • AWS CloudFormation

    • AWS CloudTrail

    • Amazon CloudWatch

    • AWS Config

    • AWS Identity and Access Management (IAM)

    • AWS Lambda

    Nota

    Per impostazione predefinita, tutti gli account sono abbonati a questi servizi.

Considerazioni per i clienti AWS IAM Identity Center (IAM Identity Center)

  • Se AWS IAM Identity Center (IAM Identity Center) è già configurato, la regione principale di AWS Control Tower deve essere la stessa della regione IAM Identity Center.

  • IAM Identity Center può essere installato solo nell'account di gestione di un'organizzazione.

  • Alla directory IAM Identity Center si applicano tre opzioni, in base alla fonte di identità scelta:

    • IAM Identity Center User Store: se AWS Control Tower è configurato con IAM Identity Center, AWS Control Tower crea gruppi nella directory IAM Identity Center e fornisce l'accesso a questi gruppi, per l'utente selezionato, per gli account dei membri.

    • Active Directory: se IAM Identity Center for AWS Control Tower è configurato con Active Directory, AWS Control Tower non gestisce la directory IAM Identity Center. Non assegna utenti o gruppi a nuovi AWS account.

    • Provider di identità esterno: se IAM Identity Center per AWS Control Tower è configurato con un provider di identità (IdP) esterno, AWS Control Tower crea gruppi nella directory IAM Identity Center e fornisce l'accesso a questi gruppi per l'utente selezionato per gli account dei membri. Puoi specificare un utente esistente dal tuo IdP esterno in Account Factory durante la creazione dell'account e AWS Control Tower consente a questo utente di accedere all'account appena fornito quando sincronizza gli utenti con lo stesso nome tra IAM Identity Center e l'IdP esterno. Puoi anche creare gruppi nel tuo IdP esterno in modo che corrispondano ai nomi dei gruppi predefiniti in AWS Control Tower. Quando assegni utenti a questi gruppi, questi utenti avranno accesso ai tuoi account registrati.

    Per ulteriori informazioni sull'utilizzo di IAM Identity Center e AWS Control Tower, consulta Cose da sapere sugli account IAM Identity Center e AWS Control Tower

Considerazioni per AWS Config e clienti AWS CloudTrail

  • L'accesso attendibile Account AWS non può essere abilitato nell'account di gestione dell'organizzazione per AWS Config o CloudTrail. Per informazioni su come disabilitare l'accesso affidabile, consulta la AWS Organizations documentazione su come abilitare o disabilitare l'accesso affidabile.

  • Se disponi di un AWS Config registratore, un canale di distribuzione o una configurazione di aggregazione in qualsiasi account esistente che intendi registrare in AWS Control Tower, devi modificare o rimuovere queste configurazioni prima di iniziare a registrare gli account, dopo la configurazione della landing zone. Questo controllo preliminare non si applica all'account di gestione AWS Control Tower durante il lancio della landing zone. Per ulteriori informazioni, consulta Registrare account che dispongono di risorse esistenti AWS Config.

  • Se esegui carichi di lavoro temporanei da account in AWS Control Tower, potresti notare un aumento dei costi associati a Config. AWS Contatta il rappresentante del tuo AWS account per informazioni più specifiche sulla gestione di questi costi.

  • Quando registri un account in AWS Control Tower, il tuo account è regolato dal AWS CloudTrail percorso dell'organizzazione AWS Control Tower. Se hai già una distribuzione di un CloudTrail trail nell'account, potresti riscontrare addebiti duplicati, a meno che non elimini il trail esistente per l'account prima di registrarlo in AWS Control Tower. Per informazioni sui percorsi a livello di organizzazione e su AWS Control Tower, consulta. Prezzi

Nota

Al momento del lancio, gli endpoint AWS Security Token Service (STS) devono essere attivati nell'account di gestione, per tutte le regioni governate da AWS Control Tower. In caso contrario, l'avvio potrebbe non riuscire a metà del processo di configurazione.