AWS Organizations guida

AWS Control Tower è strettamente associata a AWS Organizations. Ecco alcune linee guida specifiche su come collaborano al meglio per proteggere il tuo AWS ambiente.

Puoi trovare indicazioni sulle migliori pratiche per proteggere la sicurezza del tuo account di gestione AWS Control Tower e degli account dei membri nella AWS Organizations documentazione.
- Le migliori pratiche per l'account di gestione
- Le migliori pratiche per gli account dei membri
Non aggiornare le policy di controllo del servizio esistenti (SCPs) collegate a un'unità organizzativa registrata con AWS Control Tower. In questo modo i controlli potrebbero entrare in uno stato sconosciuto, che richiederà di reimpostare la landing zone o registrare nuovamente l'unità organizzativa in AWS Control Tower. Puoi invece utilizzarli AWS Organizations per crearne di nuovi SCPs e collegarli a quelli creati da AWS Control Tower OUs anziché modificare SCPs quelli creati da AWS Control Tower.
Lo spostamento di singoli account già registrati in AWS Control Tower, dall'esterno di un'unità organizzativa registrata, causa deviazioni che devono essere risolte. Per informazioni, consulta Tipi di deriva della governance.
Se lo utilizzi AWS Organizations per creare, invitare o spostare account all'interno di un'organizzazione registrata con AWS Control Tower, tali account non vengono registrati da AWS Control Tower e le modifiche non vengono registrate. Se devi accedere a questi account tramite SSO, consulta Accesso account membro.
Se si utilizza AWS Organizations per spostare un'unità organizzativa in un'organizzazione creata da AWS Control Tower, l'unità organizzativa esterna non viene registrata da AWS Control Tower.
AWS Control Tower gestisce il filtraggio delle autorizzazioni in modo diverso da come AWS Organizations lo fa. Se i tuoi account sono forniti con AWS Control Tower account factory, gli utenti finali possono vedere i nomi e i genitori di tutti OUs nella console AWS Control Tower, anche se non sono autorizzati a recuperare direttamente tali nomi e genitori. AWS Organizations
AWS Control Tower non supporta autorizzazioni miste sulle organizzazioni, ad esempio l'autorizzazione a visualizzare l'unità principale di un'unità organizzativa ma non a visualizzare i nomi delle unità organizzative. Per questo motivo, gli amministratori di AWS Control Tower devono disporre delle autorizzazioni complete.
L' AWS Organizations FullAWSAccessSCP deve essere applicato e non deve essere unito ad altri. SCPs Le modifiche a questo SCP non vengono segnalate come deviazioni; tuttavia, alcune modifiche possono influire sulla funzionalità di AWS Control Tower in modi imprevedibili, se l'accesso a determinate risorse viene negato. Ad esempio, se l'SCP viene scollegato o modificato, un account potrebbe perdere l'accesso a un AWS Config registratore o creare una lacuna nella registrazione. CloudTrail
Non utilizzare l' AWS Organizations DisableAWSServiceAccessAPI per disattivare l'accesso del servizio AWS Control Tower all'organizzazione in cui hai configurato la landing zone. In tal caso, alcune funzionalità di rilevamento della deriva di AWS Control Tower potrebbero non funzionare correttamente senza il supporto di messaggistica di. AWS Organizations Queste funzionalità di rilevamento delle deviazioni aiutano a garantire che AWS Control Tower sia in grado di riportare in modo accurato lo stato di conformità delle unità organizzative, degli account e dei controlli dell'organizzazione. Per ulteriori informazioni, consulta API_DisableAWSServiceAccess nell' AWS Organizations API Reference.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Quando effettuare l'accesso come utente root

Linee guida per IAM Identity Center