Implementazione AWS Control Tower in un'organizzazione di AWS Landing Zone - AWS Guida prescrittiva
Registrazione di AWS account esistenti AWS Control Tower in un'organizzazione esistenteRegistrazione degli AWS account di un'organizzazione esistente AWS Control Tower in una nuova organizzazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Implementazione AWS Control Tower in un'organizzazione di AWS Landing Zone

Questo scenario descrive in dettaglio i passaggi necessari per l'implementazione AWS Control Tower in un' AWS Organizations organizzazione che attualmente utilizza la soluzione AWS Landing Zone.

  1. Assicurati di poter creare due nuovi account senza superare le quote di servizio correnti. Se necessario, richiedi un aumento della quota di servizio. I nuovi account verranno utilizzati come parte dell' AWS Control Tower implementazione, a meno che tu non stia utilizzando account esistenti della landing zone che hai utilizzato per la AWS Landing Zone.

  2. Se lo utilizzi attualmente AWS IAM Identity Center, esegui la distribuzione nella stessa AWS regione AWS Control Tower in cui è configurato IAM Identity Center.

  3. Sulla AWS Organizations console, scegli Disabilita l'accesso affidabile per AWS CloudTrail i servizi AWS Config e se sono attivati. Per ulteriori informazioni, consulta la documentazione relativa ad AWS.

  4. Implementa. AWS Control Tower Per ulteriori informazioni, consulta la documentazione relativa ad AWS.

Ecco cosa aspettarsi quando configuri la AWS Control Tower landing zone in un'organizzazione esistente.

  • Puoi avere una landing zone in ogni AWS Organizations organizzazione.

  • AWS Control Tower utilizza l'account di gestione AWS Organizations dell'organizzazione esistente come account di gestione. Non è necessario un nuovo account di gestione.

  • AWS Control Tower configura due nuovi account in un'unità organizzativa di sicurezza registrata: un account di controllo e un account di archiviazione dei registri, a meno che non si utilizzino account esistenti durante la configurazione. Se si utilizzano account esistenti, AWS Control Tower sposterà gli account di controllo e di archiviazione dei registri nell'unità organizzativa creata durante la AWS Control Tower distribuzione.

  • Le quote di servizio dell'organizzazione devono essere adeguate per la creazione di questi due account aggiuntivi.

  • Dopo il lancio, i AWS Control Tower guardrail si applicano automaticamente agli account di quell'unità organizzativa.

  • È possibile registrare altri AWS account esistenti in un'unità organizzativa gestita da AWS Control Tower, in modo che i guardrail si applichino a tali account.

Se desideri registrare AWS account esistenti o OUs utilizzarli AWS Control Tower dopo la configurazione, consulta la sezione Registrazione di AWS account esistenti all' AWS Control Tower interno di un'organizzazione esistente della guida.

Registrazione di AWS account esistenti AWS Control Tower in un'organizzazione esistente

È possibile estendere la AWS Control Tower governance a un singolo AWS account esistente quando lo si registra in un'unità organizzativa (OU) già governata da. AWS Control Tower Esistono account idonei tra quelli non registrati OUs che fanno parte della stessa AWS Organizations organizzazione dell'unità organizzativa. AWS Control Tower

È possibile registrare un'unità organizzativa AWS Control Tower dalla AWS Control Tower console. Quando si registra un'unità organizzativa, AWS Control Tower verranno registrati tutti gli account dell'unità organizzativa in. AWS Control Tower

Si consiglia di registrare un'unità organizzativa anziché registrare singoli account. Il vantaggio di questo approccio è che l'ID OU non cambia. Se disponi di politiche o regole che utilizzano l'ID OU, non dovrai apportare alcuna modifica.

Prima di registrare gli AWS account con AWS Control Tower, elimina le istanze dello AWS CloudFormation stack dal set di stack denominato. AWS-Landing-Zone-Baseline-EnableConfig In ogni account che desideri registrare, in ogni AWS regione in cui AWS Control Tower è distribuito, devi eliminare l'istanza dello stack. AWS-Landing-Zone-Baseline-EnableConfig Poiché l'eliminazione del set completo dello stack richiede tempo, ti consigliamo di eliminare le istanze dello stack solo per gli account che stai registrando. Idealmente, l'eliminazione dello stack di istanze per un account specifico dovrebbe comportare l'eliminazione del registratore e del canale di distribuzione. AWS Config È possibile verificare l'eliminazione eseguendo i seguenti comandi per quell'account.


      aws configservice describe-configuration-recorders --region <region_name>     
      aws configservice describe-delivery-channels --region <region_name>

Utilizza la funzionalità AWS Control Tower Register OU dalla AWS Control Tower console

Prima di registrare un'intera unità organizzativa con AWS account esistenti, assicurati di effettuare le seguenti operazioni:

  • Eliminare il AWS Config registratore e il canale di distribuzione da tutte le regioni di tutti gli account appartenenti a tale unità organizzativa, come indicato in precedenza.

Per ulteriori informazioni, consulta Registrare un'unità organizzativa esistente con AWS Control Tower.

Dopo la registrazione di un account AWS Control Tower, vedrai un altro prodotto fornito in Service Catalog per l'account che hai registrato. Il nome del prodotto fornito avrà il prefisso Enroll-. Ciò significa che ora hai due prodotti forniti in Service Catalog per un singolo account:

  • Un prodotto fornito dal AWS Landing Zone Account Vending Machine

  • Un prodotto fornito a partire dalla registrazione a AWS Control Tower

Hai la possibilità di annullare il prodotto fornito per un account da AWS Landing Zone, ma ti consigliamo di attendere fino al completamento della transizione.

Quando interrompi il prodotto fornito per gli account venduti nell'ambiente AWS Landing Zone, l'Terminateoperazione inizierà a eliminare i set di AWS CloudFormation stack di base associati, che potresti voler conservare. Assicurati di valutare i set di stack di base in manifest.yaml e di comprendere le implicazioni dell'eliminazione degli stack set. Se hai delle risorse negli stack set che desideri conservare, evita di eliminare il prodotto fornito. Un'eliminazione parziale renderà il prodotto fornito nello stato contaminato nella console Service Catalog.

In alternativa, puoi conservare il prodotto fornito creato da Account Vending Machine da Landing Zone. AWS

Registrazione degli AWS account di un'organizzazione esistente AWS Control Tower in una nuova organizzazione

Potresti voler eseguire l'implementazione AWS Control Tower in una nuova AWS Organizations organizzazione. Per eseguire la configurazione AWS Control Tower in una nuova organizzazione, completa i seguenti passaggi:

  1. Crea un nuovo AWS account.

  2. Esegui il deployment AWS Control Tower nell'account appena creato.

  3. Per migrare un AWS account da un'organizzazione esistente alla nuova organizzazione in cui è stato distribuito AWS Control Tower, consulta le istruzioni. È importante esaminare e comprendere tutte le considerazioni relative all'accesso all'account, alla fatturazione, alle licenze e alle tasse.

  4. Per comprendere il processo di migrazione degli AWS account tra le organizzazioni, consulta il post sul blog Migrazione degli account AWS Organizations con fatturazione consolidata a tutte le funzionalità.

  5. Inizia a registrare l'account in. AWS AWS Control Tower Per eseguire la registrazione, consulta la sezione Registrazione di AWS account esistenti AWS Control Tower in un'organizzazione esistente.