Se você gerencia recursos fora do AWS Control Tower - AWS Control Tower
Referindo-se a recursos fora da AWS Control TowerAlteração externa dos nomes dos recursos do AWS Control TowerExcluindo a OU de segurançaRemovendo uma conta da OU de segurançaAlterações externas que são atualizadas automaticamente

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Se você gerencia recursos fora do AWS Control Tower

O AWS Control Tower configura contas, unidades organizacionais e outros recursos em seu nome, mas você é o proprietário desses recursos. Você pode alterar esses recursos dentro ou fora do AWS Control Tower. O local mais comum para alterar recursos fora do AWS Control Tower é o AWS Organizations console. Este tópico descreve como reconciliar alterações nos recursos da AWS Control Tower quando você faz as alterações fora da AWS Control Tower.

Renomear, excluir e mover recursos para fora do console do AWS Control Tower faz com que o console fique fora de sincronia. Muitas mudanças podem ser reconciliadas automaticamente. Certas mudanças exigem uma redefinição na sua landing zone para atualizar as informações exibidas no console do AWS Control Tower.

Em geral, as alterações que você faz fora do console do AWS Control Tower nos recursos da AWS Control Tower criam um estado de desvio solucionável em sua landing zone. Para mais informações sobre essas alterações, consulte Mudanças reparáveis nos recursos.

Tarefas que exigem redefinição da zona de pouso

  • Excluindo a OU de segurança (um caso especial, que não deve ser feito levianamente).

  • Remover uma conta compartilhada da OU de segurança (não recomendado).

  • Atualizar, anexar ou desanexar um SCP associado à OU de segurança.

Alterações que são atualizadas automaticamente pelo AWS Control Tower

  • Alterar o endereço de e-mail de uma conta registrada

  • Renomear uma conta registrada

  • Criação de uma nova unidade organizacional (OU) de nível superior

  • Renomeando uma OU registrada

  • Excluindo uma OU registrada (exceto a OU de segurança, que requer uma atualização).

  • Excluindo uma conta inscrita (exceto uma conta compartilhada na OU de segurança)

nota

AWS Service Catalog lida com as mudanças de forma diferente do AWS Control Tower. AWS Service Catalog pode criar uma mudança na postura de governança quando ela reconcilia suas mudanças. Para obter mais informações sobre a atualização de um produto provisionado, consulte Atualização de produtos provisionados na documentação. AWS Service Catalog

Referindo-se a recursos fora da AWS Control Tower

Quando você cria novas OUs e contas fora da AWS Control Tower, elas não são governadas pela AWS Control Tower, mesmo que possam ser exibidas.

Criar uma UO

As unidades organizacionais (OUs) criadas fora do AWS Control Tower são chamadas de não registradas. Eles são exibidos na página da organização, mas não são governados pelos controles do AWS Control Tower.

Criar uma conta

As contas criadas fora do AWS Control Tower são chamadas de não inscritas. As contas inscritas e não inscritas que pertencem a uma OU registrada no AWS Control Tower são exibidas na página da organização. Contas que não pertencem a uma OU registrada podem ser convidadas usando o AWS Organizations console. Esse convite para participar não inscreve a conta na AWS Control Tower nem estende a governança da AWS Control Tower à conta. Para ampliar a governança inscrevendo a conta, acesse a página da organização ou a página de detalhes da conta no AWS Control Tower e escolha Inscrever conta.

Alteração externa dos nomes dos recursos do AWS Control Tower

Você pode alterar os nomes de suas unidades organizacionais (OUs) e contas fora do console do AWS Control Tower, e o console é atualizado automaticamente para refletir essas alterações.

Renomear uma UO

Em AWS Organizations, você pode alterar o nome de uma OU usando a AWS Organizations API ou o console. Quando você altera o nome de uma OU fora do AWS Control Tower, o console do AWS Control Tower reflete automaticamente a alteração do nome. No entanto, se você provisionar suas contas usando AWS Service Catalog, você também deverá redefinir sua landing zone para garantir que o AWS Control Tower permaneça consistente com AWS Organizations. O fluxo de trabalho de redefinição garante a consistência entre os serviços das OUs básicas e adicionais. Você pode resolver esse tipo de desvio na página de configurações da zona de pouso. Consulte a seção chamada “Resolvendo o desvio” em. Detecte e resolva desvios na AWS Control Tower

O AWS Control Tower exibe os nomes das OUs na página da organização no painel da AWS Control Tower. Você pode ver quando sua operação de redefinição da zona de pouso foi bem-sucedida.

Renomear uma conta registrada

Cada AWS conta tem um nome de exibição que pode ser alterado pelo usuário raiz da conta no AWS Billing and Cost Management console. Quando você renomeia uma conta que está inscrita no AWS Control Tower, a mudança de nome é automaticamente refletida no AWS Control Tower. Para obter mais informações sobre como alterar o nome de uma conta, consulte Gerenciamento de uma AWS conta no Guia do usuário AWS de faturamento.

Excluindo a OU de segurança

Esse tipo de oscilação é um caso especial. Se você excluir o Security OU, você verá uma página de mensagem de erro solicitando que você redefina sua landing zone. Você deve redefinir sua landing zone antes de realizar qualquer outra ação no AWS Control Tower.

  • Você não poderá realizar nenhuma ação no console do AWS Control Tower e não poderá criar novas contas AWS Service Catalog até que a redefinição seja feita.

  • Você não conseguirá visualizar a página de configurações da zona de pouso para ver o botão Redefinir lá.

Nessa situação, o processo de redefinição da landing zone cria uma nova OU de segurança e move as duas contas compartilhadas para a nova OU de segurança. O AWS Control Tower marca as contas de arquivamento de registros e auditoria como desviadas. O mesmo processo resolve o desvio nessas contas.

Se você determinar que deve excluir a OU de segurança, aqui está o que você precisa saber:

Antes de excluir a OU de segurança, você deve se certificar de que ela não contém contas. Especificamente, você deve remover as contas de Arquivo de Registros e Auditoria da OU. Recomendamos que você mova essas contas para outra UO.

nota

A ação de excluir sua OU de segurança não deve ser executada sem a devida consideração. A ação pode criar problemas de conformidade se o registro for suspenso temporariamente e porque alguns controles podem não ser aplicados.

Para obter informações gerais sobre oscilação, consulte "Resolver oscilações" em Detecte e resolva desvios na AWS Control Tower.

Removendo uma conta da OU de segurança

Não recomendamos que você remova nenhuma das contas compartilhadas da sua organização nem as retire da OU de Segurança. Se você removeu uma conta compartilhada acidentalmente, siga as etapas de correção nesta seção para restaurar a conta.

  • De dentro do console do AWS Control Tower: Para iniciar o processo de remediação, siga as etapas de remediação semimanuais. Certifique-se de que o usuário ou a função que você usa para acessar o console do AWS Control Tower tenha permissões para execuçãoorganizations:InviteAccountToOrganization. Se você não tiver essas permissões, siga as etapas de remediação manual, que usam tanto o console do AWS Control Tower quanto o AWS Organizations console.

  • Começando pelo AWS Organizations console: esse processo de correção é um procedimento um pouco mais longo, totalmente manual. Ao seguir as etapas de remediação manual, você alternará entre o AWS Organizations console e o console do AWS Control Tower. Ao trabalhar em AWS Organizations, você precisará de um usuário ou função com a política AWSOrganizationsFullAccess gerenciada ou equivalente. Ao trabalhar no console da AWS Control Tower, você precisará de um usuário ou função com a política AWSControlTowerServiceRolePolicy gerenciada ou equivalente, além de permissão para executar todas as ações da AWS Control Tower (controltower: *).

  • Se as etapas de correção não restaurarem a conta, entre em contato com AWS Support.

Os resultados da remoção de uma conta compartilhada por meio de AWS Organizations:

  • A conta não está mais protegida pelos controles obrigatórios do AWS Control Tower com políticas de controle de serviços (SCPs). Resultado: os recursos criados pelo AWS Control Tower na conta podem ser modificados ou excluídos.

  • A conta não está mais sob a conta AWS Organizations de gerenciamento. Resultado: o administrador da conta AWS Organizations de gerenciamento não tem mais visibilidade dos gastos da conta.

  • Não é mais garantido que a conta seja monitorada por AWS Config. Resultado: o administrador da conta AWS Organizations de gerenciamento talvez não consiga detectar alterações nos recursos.

  • A conta não está mais na organização. Resultado: as atualizações e redefinições do AWS Control Tower falharão.

Para restaurar uma conta compartilhada usando o console do AWS Control Tower (procedimento semimanal)

  1. Faça login no console do AWS Control Tower em https://console.aws.amazon.com/controltower. Você deve fazer login como usuário do IAM, usuário no IAM Identity Center ou função com permissões para executarorganizations:InviteAccountToOrganization. Se você não tiver essas permissões, use o procedimento de correção manual descrito posteriormente neste tópico.

  2. Na página Detectada de desvio na zona de destino, escolha Convidar novamente para remediar a remoção da conta compartilhada, convidando novamente a conta compartilhada para a organização. Um e-mail gerado automaticamente é enviado para o endereço de e-mail da conta.

  3. Aceite o convite para trazer a conta compartilhada de volta para a organização. Execute um destes procedimentos:

    • Faça login na conta compartilhada que foi removida e acesse https://console.aws.amazon.com/organizations/home#/invites

    • Se você tiver acesso à mensagem de e-mail enviada quando convidou novamente a conta, faça login na conta removida e clique no link na mensagem para navegar diretamente até o convite da conta.

    • Se a conta compartilhada que foi removida não estiver em outra organização, entre na conta, abra o AWS Organizations console e navegue até Convites.

  4. Faça login na conta de gerenciamento novamente ou recarregue o console do AWS Control Tower se ele já estiver aberto. Você verá a página de deriva da zona de pouso. Escolha Redefinir para reparar a landing zone.

  5. Aguarde a conclusão do processo de reinicialização.

Se a correção for bem-sucedida, a conta compartilhada aparecerá em um estado normal e em conformidade.

Se as etapas de correção não restaurarem a conta, entre em contato com AWS Support.

Para restaurar uma conta compartilhada usando o AWS Control Tower e AWS Organizations os consoles (remediação manual)

  1. Faça login no AWS Organizations console emhttps://console.aws.amazon.com/organizations/. Você deve fazer login como usuário do IAM, usuário no IAM Identity Center ou função com a política AWSOrganizationsFullAccess gerenciada ou equivalente.

  2. Convide a conta compartilhada de volta para a organização. Para obter informações sobre os requisitos, pré-requisitos e procedimentos para convidar uma conta AWS Organizations, consulte Convidar uma AWS conta para sua organização no Guia do usuário.AWS Organizations

  3. Faça login na conta compartilhada que foi removida e acesse https://console.aws.amazon.com/organizations/home#/invites para aceitar o convite.

  4. Faça login na conta de gerenciamento novamente.

  5. Faça login no console da AWS Control Tower como usuário ou função com a política AWSControlTowerServiceRolePolicy gerenciada ou equivalente e permissões para executar todas as ações da AWS Control Tower (controltower: *).

  6. Você verá a página de desvio da zona de pouso com a opção de redefinir a zona de pouso. Escolha Redefinir para reparar a landing zone.

  7. Aguarde a conclusão do processo de reinicialização.

Se a correção for bem-sucedida, a conta compartilhada aparecerá em um estado normal e em conformidade.

Se as etapas de correção não restaurarem a conta, entre em contato com AWS Support.

Alterações externas que são atualizadas automaticamente

As alterações que você faz nos endereços de e-mail da sua conta são atualizadas automaticamente pelo AWS Control Tower, mas o Account Factory não as atualiza automaticamente.

Alterar o endereço de e-mail de uma conta controlada

O AWS Control Tower recupera e exibe endereços de e-mail conforme exigido pela experiência do console. Portanto, os endereços de e-mail compartilhados e de outras contas são atualizados e exibidos de forma consistente no AWS Control Tower depois que você os altera.

nota

Em AWS Service Catalog, o Account Factory exibe os parâmetros que foram especificados no console quando você criou um produto provisionado. No entanto, o endereço de e-mail da conta original não será atualizado automaticamente quando o endereço de e-mail da conta for alterado. Isso ocorre porque a conta está contida conceitualmente no produto provisionado; não é a mesma que o produto provisionado. Para atualizar esse valor, é necessário atualizar o produto provisionado, o que pode causar uma alteração na postura de governança.

Aplicação de AWS Config regras externas

O AWS Control Tower exibe o status de conformidade de todas AWS Config as regras implantadas em unidades organizacionais registradas na AWS Control Tower, incluindo regras que foram ativadas fora do console do AWS Control Tower.

Excluindo recursos da AWS Control Tower fora da AWS Control Tower

Você pode excluir OUs e contas no AWS Control Tower e não precisa realizar nenhuma ação adicional para ver as atualizações. O Account Factory é atualizado automaticamente quando você exclui uma OU, mas não quando você exclui uma conta.

Excluindo uma OU registrada (exceto a OU de segurança)

Dentro AWS Organizations, você pode remover unidades organizacionais (OUs) vazias usando a API ou o console. As UOs que contêm contas não podem ser excluídas.

O AWS Control Tower recebe uma notificação AWS Organizations quando uma OU é excluída. Ele atualiza a lista de UOs no Account Factory, para que a lista de OUs registradas permaneça consistente.

nota

Em AWS Service Catalog, o Account Factory é atualizado para remover a OU excluída da lista de OUs disponíveis nas quais você pode provisionar uma conta.

Excluir uma conta registrada de uma UO

Quando você exclui uma conta cadastrada, o AWS Control Tower recebe uma notificação e faz atualizações para que as informações permaneçam consistentes.

nota

Em AWS Service Catalog, o produto provisionado pela Account Factory que representa a conta controlada não é atualizado para excluir a conta. Em vez disso, o produto provisionado é exibido como TAINTED e em um estado de erro. Para limpar, acesse o AWS Service Catalog, escolha o produto provisionado e escolha Terminate (Encerrar).