Confronta le funzionalità Avvia AWS Control Tower in un'organizzazione esistente Lancio di AWS Control Tower in una nuova organizzazione

Pianifica la tua landing zone di AWS Control Tower

Durante il processo di configurazione, AWS Control Tower lancia una risorsa chiave associata al tuo account, chiamata landing zone, che funge da home per le tue organizzazioni e i loro account.

Nota

Puoi avere una landing zone per organizzazione.

Per informazioni su alcune best practice da seguire quando pianifichi e configuri la landing zone, consultaAWS strategia multi-account per la tua landing zone di AWS Control Tower.

Modi per configurare AWS Control Tower

Puoi configurare una landing zone AWS Control Tower in un'organizzazione esistente oppure puoi iniziare creando una nuova organizzazione che contenga la tua landing zone di AWS Control Tower.

Avvia AWS Control Tower in un'organizzazione esistente: Questa sezione è dedicata ai clienti già AWS Organizations pronti per l'adozione della governance da parte di AWS Control Tower.
Lancio di AWS Control Tower in una nuova organizzazione: Questa sezione è dedicata ai clienti senza unità AWS Organizationsorganizzative e account esistenti.

Nota

Se disponi già di una AWS Organizations landing zone, puoi estendere la governance di AWS Control Tower dalla landing zone esistente ad alcune o tutte le unità organizzative e gli account esistenti all'interno di un'organizzazione. Vedi Governare le organizzazioni e gli account esistenti.

Confronta le funzionalità

Ecco un breve confronto delle differenze tra l'aggiunta di AWS Control Tower a un'organizzazione esistente o l'estensione della governance di AWS Control Tower alle unità organizzative e agli account. Inoltre, si applicano alcune considerazioni speciali se si passa ad AWS Control Tower dalla soluzione AWS Landing Zone.

Informazioni sull'aggiunta a un'organizzazione esistente: aggiungere AWS Control Tower a un'organizzazione esistente è qualcosa che puoi realizzare all'interno della AWS console. In questo caso, hai già creato un'organizzazione nel AWS Organizations servizio, che non è attualmente registrata presso AWS Control Tower e desideri aggiungere una landing zone in seguito.

Quando aggiungi una landing zone a un'organizzazione esistente, AWS Control Tower imposta una struttura parallela, a AWS Organizations livello. Non modifica le unità organizzative e gli account all'interno dell'organizzazione esistente.

Informazioni sull'estensione della governance: l'estensione della governance si applica a unità organizzative e account specifici all'interno di una singola organizzazione già registrata presso AWS Control Tower, il che significa che esiste già una landing zone per quell'organizzazione. Estendere la governance significa che i controlli di AWS Control Tower vengono estesi in modo che i relativi vincoli si applichino alle unità organizzative e agli account specifici all'interno dell'organizzazione registrata. In questo caso, non stai lanciando una nuova landing zone, stai solo espandendo la landing zone attuale per la tua organizzazione.

Importante

Considerazione speciale: se attualmente utilizzi la soluzioneAWS Landing Zone (ALZ) per AWS Organizations, contatta il tuo architetto di AWS soluzioni prima di provare ad abilitare AWS Control Tower nella tua organizzazione. AWS Control Tower non può eseguire controlli preliminari per determinare se AWS Control Tower possa interferire con l'attuale implementazione della landing zone. Per ulteriori informazioni, consulta Procedura dettagliata: passaggio da ALZ a AWS Control Tower. Inoltre, per informazioni sullo spostamento degli account da una landing zone all'altra, vedi Cosa succede se l'account non soddisfa i prerequisiti?

Avvia AWS Control Tower in un'organizzazione esistente

Configurando una landing zone di AWS Control Tower in un'organizzazione esistente, puoi iniziare a lavorare immediatamente, in parallelo AWS Organizations all'ambiente esistente. Le altre unità organizzative create all'interno AWS Organizations sono invariate, in quanto non sono registrate con AWS Control Tower. Puoi continuare a utilizzare le unità organizzative e gli account esattamente come sono.

AWS Control Tower si consolida utilizzando l'account di gestione dell'organizzazione esistente come account di gestione. Non è necessario un nuovo account di gestione. Puoi avviare la landing zone di AWS Control Tower dal tuo account di gestione esistente.

Nota

Per configurare AWS Control Tower su un'organizzazione esistente, i limiti del servizio devono consentire la creazione di almeno due account aggiuntivi.

Effetti dell'aggiunta di AWS Control Tower all'organizzazione esistente

AWS Control Tower crea due account nell'organizzazione: un account di audit e un account di registrazione. Questi account registrano le azioni intraprese dal team, nei rispettivi account individuali degli utenti finali. Gli account di archiviazione Audit e Log vengono visualizzati nell'unità organizzativa di sicurezza all'interno della landing zone di AWS Control Tower.

Quando configuri la landing zone, gli account aggiunti da AWS Control Tower diventano parte di quelli esistenti AWS Organizationse come tali entrano a far parte della fatturazione dell'organizzazione esistente.

Riepilogo delle funzionalità

L'abilitazione di AWS Control Tower su un' AWS Organizations organizzazione esistente offre diversi importanti miglioramenti all'organizzazione.

Consente una fatturazione unificata tra i gruppi dell'organizzazione, poiché gli account aggiunti da AWS Control Tower entreranno a far parte dell'organizzazione esistente.
Ti dà la possibilità di amministrare tutti gli account da un unico account di gestione nell'unità organizzativa.
Semplifica il modo in cui applichi e applichi i controlli che coprono la sicurezza e la conformità per gli account esistenti e nuovi.

Importante

Il lancio della landing zone di AWS Control Tower in un' AWS Organizations organizzazione esistente non consente di estendere la governance di AWS Control Tower da tale organizzazione ad altre unità organizzative o account non registrati presso AWS Control Tower.

Per avviare AWS Control Tower nella tua organizzazione esistente, segui la procedura descritta inGuida introduttiva a AWS Control Tower.

Per ulteriori informazioni su come AWS Control Tower interagisce con AWS Organizations le organizzazioni esistenti, consultaGestisci organizzazioni e account con AWS Control Tower.

Lancio di AWS Control Tower in una nuova organizzazione

Se non conosci AWS Control Tower e non hai mai lavorato con AWS AWS Organizations, il miglior punto di partenza è leggere il nostro Configurazione documento.

AWS Control Tower configura automaticamente un'organizzazione per te quando non ne hai una configurata.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Le migliori pratiche per gli amministratori

Procedure consigliate: configurare una landing AWS zone con più account