UO raiz

Se você escolher o método de implantação de scp ourcp, ao adicionar Root underorganizational_units, o AWS Control Tower aplicará as políticas a todos os itens OUs sob o Root. Se você escolher o método de implantação de stack_set, ao adicionar Raiz emorganizational_units, o CfCT implantará os conjuntos de pilhas em todas as contas na Raiz que estão inscritas no AWS Control Tower, exceto na conta de gerenciamento.

De acordo com as práticas recomendadas do AWS Control Tower, a conta de gerenciamento se destina apenas a gerenciar contas-membros e para fins de cobrança. Não execute workloads de produção na conta de gerenciamento do AWS Control Tower.

De acordo com a orientação de práticas recomendadas, a implantação do AWS Control Tower coloca a conta de gerenciamento na UO raiz, para que ela tenha acesso total e não execute recursos adicionais. Por esse motivo, a AWSControlTowerExecutionfunção não é implantada na conta de gerenciamento.

Recomendamos que você siga essas práticas recomendadas para a conta de gerenciamento. Se você tiver um caso de uso específico que exija a implantação de conjuntos de pilhas na conta de gerenciamento, inclua accounts como destino de implantação e especifique a conta de gerenciamento. Caso contrário, não inclua accounts como destino da implantação. Você deve criar os recursos que faltam, incluindo os perfis do IAM necessários, na conta de gerenciamento.