Unità organizzative annidate in AWS Control Tower - AWS Control Tower
Procedura guidata: videoEspandi da una struttura OU piatta a una struttura di unità organizzative annidataControlli preliminari della registrazione delle unità organizzative annidateOU e ruoli annidatiCosa succede durante la registrazione e la nuova registrazione delle unità organizzative e degli account annidatiConsiderazioni sulla registrazione di unità organizzative annidateLimitazioni dell'unità organizzativa annidataOU annidate e conformitàUnità organizzative annidate e derivaUnità organizzative e controlli annidatiLe unità organizzative annidate e la radice

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Unità organizzative annidate in AWS Control Tower

Questo capitolo elenca le aspettative e le considerazioni di cui devi essere consapevole quando lavori con unità organizzative annidate in AWS Control Tower. In molti modi, lavorare con unità organizzative annidate equivale a lavorare con una struttura di unità organizzative piatta. Le funzionalità Register e Re-register funzionano con le unità organizzative annidate, ad eccezione dei comportamenti modificati descritti in questo capitolo.

Procedura guidata: video

Questo video (4:46) descrive come gestire le distribuzioni di unità organizzative annidate in AWS Control Tower. Per una migliore visualizzazione, seleziona l'icona nell'angolo in basso a destra del video per ingrandirlo a schermo intero. È disponibile la didascalia.

Per indicazioni sulle best practice per le unità organizzative annidate e le zone di atterraggio, consulta il post sul blog Organizing your AWS Control Tower landing zone with nested OU.

Espandi da una struttura OU piatta a una struttura di unità organizzative annidata

Se hai creato la landing zone di AWS Control Tower con una struttura di unità organizzative piatta, puoi espanderla in una struttura di unità organizzative annidata.

Questo processo prevede quattro fasi principali:

  1. Crea la struttura di unità organizzative annidate desiderata in AWS Control Tower.

  2. Vai alla AWS Organizations console e usa la funzionalità di spostamento in blocco per spostare gli account dall'unità organizzativa di origine (fissa) all'unità organizzativa di destinazione (annidata). Ecco come:

    1. Vai all'unità organizzativa da cui desideri spostare gli account.

    2. Seleziona tutti gli account nell'unità organizzativa.

    3. Scegli Sposta.

      Nota

      Questo passaggio deve essere eseguito nella AWS Organizations console in quanto AWS Control Tower non dispone della funzionalità Move.

  3. Vai all'unità organizzativa annidata in AWS Control Tower e registrala o registrala nuovamente. Tutti gli account dell'unità organizzativa annidata verranno registrati.

    • Se hai creato l'unità organizzativa in AWS Control Tower, registra nuovamente l'unità organizzativa.

    • Se hai creato l'unità organizzativa in AWS Organizations, registra l'unità organizzativa per la prima volta.

  4. Dopo lo spostamento e la registrazione degli account, elimina l'unità organizzativa di primo livello vuota dalla AWS Organizations console o dalla console AWS Control Tower.

Controlli preliminari della registrazione delle unità organizzative annidate

Per supportare la corretta registrazione delle unità organizzative annidate e dei relativi account membro, AWS Control Tower esegue una serie di controlli preliminari. Questi stessi controlli preliminari vengono eseguiti quando si registra qualsiasi unità organizzativa di primo livello o unità organizzativa annidata. Per ulteriori informazioni, vedere Cause comuni di errore durante la registrazione o la nuova registrazione.

  • Se tutti i controlli preliminari vengono superati, AWS Control Tower inizia a registrare l'unità organizzativa automaticamente.

  • Se alcuni controlli preliminari falliscono, AWS Control Tower interrompe il processo di registrazione e fornisce un elenco di elementi che devono essere corretti prima di poter registrare l'unità organizzativa.

OU e ruoli annidati

AWS Control Tower distribuisce il AWSControlTowerExecution ruolo agli account all'interno dell'unità organizzativa di destinazione e agli account di tutte le unità organizzative annidate sotto l'unità organizzativa di destinazione, anche quando l'intenzione è quella di registrare solo l'unità organizzativa di destinazione. Questo ruolo fornisce a qualsiasi utente dell'account di gestione le autorizzazioni di amministratore su qualsiasi account che abbia il ruolo. AWSControlTowerExecution Il ruolo può essere utilizzato per eseguire azioni che normalmente non sarebbero consentite dai controlli di AWS Control Tower.

Puoi eliminare questo ruolo dagli account non registrati che non intendi registrare. Se elimini questo ruolo, non puoi registrare l'account con AWS Control Tower o registrare le unità organizzative principali immediate, a meno che non ripristini il ruolo sull'account. Per eliminare il AWSControlTowerExecution ruolo da un account, devi aver effettuato l'accesso al AWSControlTowerExecution ruolo, poiché nessun altro responsabile IAM è autorizzato a eliminare i ruoli gestiti da AWS Control Tower.

Per informazioni su come limitare l'accesso ai ruoli, consulta Condizioni opzionali per le relazioni di fiducia dei ruoli.

Cosa succede durante la registrazione e la nuova registrazione delle unità organizzative e degli account annidati

Quando registri o registri nuovamente un'unità organizzativa annidata, AWS Control Tower registra tutti gli account non registrati dell'unità organizzativa di destinazione e aggiorna tutti gli account registrati. Ecco cosa aspettarsi.

AWS Control Tower svolge le seguenti attività:

  • Aggiunge il AWSControlTowerExecution ruolo a tutti gli account non registrati in questa unità organizzativa e a tutti gli account non registrati nelle relative unità organizzative annidate.

  • Registra gli account dei membri che non sono registrati.

  • Registra nuovamente gli account dei membri registrati.

  • Crea un accesso a IAM Identity Center per gli account dei membri appena registrati.

  • Aggiorna gli account dei membri registrati esistenti in base alle modifiche apportate alle landing zone.

  • Aggiorna i controlli configurati per questa unità organizzativa e i relativi account membri.

Considerazioni sulla registrazione di unità organizzative annidate

  • Non è possibile registrare un'unità organizzativa nell'unità organizzativa principale (Security OU).

  • Le unità organizzative annidate devono essere registrate separatamente.

  • Non è possibile registrare un'unità organizzativa a meno che non sia registrata l'unità organizzativa principale.

  • Non è possibile registrare un'unità organizzativa a meno che tutte le unità organizzative più in alto nell'albero non siano state registrate correttamente in un determinato momento (alcune potrebbero essere state eliminate).

  • È possibile registrare un'unità organizzativa che si trova sotto un'unità organizzativa superiore spostata, ma la deriva non viene riparata da tale azione.

Limitazioni dell'unità organizzativa annidata

  • Le unità organizzative possono essere annidate a una profondità massima di 5 livelli sotto la radice.

  • Le unità organizzative nidificate sotto l'unità organizzativa di destinazione devono essere registrate o registrate nuovamente separatamente.

  • Se l'unità organizzativa di destinazione si trova al livello 2 o inferiore nella gerarchia, ovvero se non è un'unità organizzativa di livello superiore, i controlli preventivi abilitati sulle unità organizzative superiori vengono applicati automaticamente a questa unità organizzativa e a tutte le unità organizzative inferiori.

  • Gli errori di registrazione delle unità organizzative non si propagano all'interno dell'albero gerarchico. È possibile visualizzare i dettagli sugli stati delle unità organizzative annidate nella pagina dei dettagli dell'unità organizzativa principale.

  • Gli errori di registrazione delle unità organizzative non si propagano lungo l'albero gerarchico.

  • AWS Control Tower non modifica le impostazioni del VPC per account nuovi o esistenti.

OU annidate e conformità

Dalla console AWS Control Tower, puoi visualizzare le unità organizzative e gli account non conformi nella pagina Organizzazione, in modo da comprendere la conformità su larga scala.

Considerazioni sulla conformità per le unità organizzative e gli account annidati

  • La conformità di un'unità organizzativa non è determinata in base alla conformità delle unità organizzative annidate al suo interno.

  • Lo stato di conformità di un controllo viene calcolato su tutte le unità organizzative su cui è abilitato il controllo, incluse le unità organizzative nidificate. Consulta lo stato di conformità di AWS Control Tower per le unità organizzative e gli account w.

  • Un'unità organizzativa viene indicata come non conforme solo se ha account non conformi, indipendentemente dalla posizione dell'unità organizzativa nella gerarchia delle unità organizzative.

  • Se un'unità organizzativa annidata non è conforme, l'unità organizzativa principale non viene automaticamente considerata non conforme.

  • Nella pagina dei dettagli dell'unità organizzativa o dei dettagli dell'account, è possibile visualizzare un elenco di risorse non conformi che potrebbero causare lo stato di non conformità delle unità organizzative o degli account.

Unità organizzative annidate e deriva

In alcune situazioni, la deriva può impedire la registrazione delle unità organizzative annidate.

Aspettative relative alla deriva e alle unità organizzative annidate

  • È possibile abilitare i controlli sulle unità organizzative con genitori alla deriva, ma non direttamente sulle unità organizzative che si trovano alla deriva.

  • È consentito abilitare i controlli investigativi su un'unità organizzativa alla deriva, purché non si tratti di un'unità organizzativa alla deriva di primo livello.

  • I controlli obbligatori sono abilitati solo nelle unità organizzative di primo livello. I controlli obbligatori vengono ignorati quando si registra un'unità organizzativa annidata.

  • Un controllo obbligatorio protegge AWS Config le risorse; pertanto, per registrare le unità organizzative annidate, tale controllo deve avvenire in uno stato di non deriva. In caso di deviazione, AWS Control Tower blocca la registrazione delle unità organizzative annidate.

  • Se l'unità organizzativa di primo livello è alla deriva, il controllo che protegge le AWS Config risorse potrebbe andare alla deriva. In questa situazione, AWS Control Tower blocca qualsiasi azione che richieda la creazione o l'aggiornamento di AWS Config risorse, inclusa l'applicazione di controlli investigativi.

Unità organizzative e controlli annidati

Quando si abilita un controllo su un'unità organizzativa registrata, i controlli preventivi e investigativi hanno comportamenti diversi. Per le unità organizzative annidate, i controlli proattivi si comportano in modo simile ai controlli investigativi.

Controlli preventivi

  • I controlli preventivi vengono applicati alle unità organizzative annidate.

  • I controlli preventivi obbligatori vengono applicati a tutti gli account dell'unità organizzativa e delle relative unità organizzative annidate.

  • I controlli preventivi riguardano tutti gli account e le unità organizzative annidati nell'unità organizzativa di destinazione, anche se tali account e unità organizzative non sono registrati.

Controlli investigativi e proattivi

  • Le unità organizzative annidate non ereditano automaticamente i controlli investigativi o proattivi; questi devono essere abilitati separatamente.

  • I controlli investigativi e proattivi vengono utilizzati solo sugli account registrati nelle regioni operative della tua zona di atterraggio.

Stati di controllo ed ereditarietà abilitati

È possibile visualizzare i controlli ereditati per ogni unità organizzativa nella pagina dei dettagli dell'unità organizzativa.

Suggerimento

È possibile utilizzare l'ereditarietà dei controlli per mantenere la quota SCP di un'unità organizzativa. Ad esempio, è possibile abilitare un controllo nell'unità organizzativa di livello superiore di una gerarchia di unità organizzative, anziché abilitare direttamente un'unità organizzativa annidata.

Stato ereditato

  • Lo stato Ereditato indica che il controllo è abilitato solo per ereditarietà e non è stato applicato direttamente all'unità organizzativa.

  • Lo stato Abilitato indica che il controllo è applicato su questa unità organizzativa, indipendentemente dallo stato in altre unità organizzative.

  • Lo stato Fallito indica che il controllo non è applicato su questa unità organizzativa, indipendentemente dallo stato in altre unità organizzative.

Nota

Lo stato Ereditato indica che il controllo è stato applicato a un'unità organizzativa superiore nell'albero ed è applicato a questa unità organizzativa, ma non è stato aggiunto direttamente a questa unità organizzativa.

Se la tua landing zone non è la versione attuale

Ogni riga della tabella Controlli abilitati rappresenta un controllo abilitato su una singola unità organizzativa.

Le unità organizzative annidate e la radice

La radice non è un'unità organizzativa e non può essere registrata o ri-registrata. Inoltre, non è possibile creare account direttamente nella directory principale. La radice non può essere non conforme o avere uno stato del ciclo di vita, ad esempio registrata o in deriva.

Tuttavia, la radice è il contenitore di primo livello per tutti gli account e le unità organizzative. Nel contesto delle unità organizzative nidificate, è il nodo in cui sono annidate tutte le altre unità organizzative.