Se você gerencia recursos fora do AWS Control Tower - AWS Control Tower
Referir-se a recursos fora do AWS Control TowerAlteração externa dos nomes dos recursos do AWS Control TowerExcluir a UO de segurançaRemover uma conta da OU de segurançaAlterações externas que são atualizadas automaticamente

Se você gerencia recursos fora do AWS Control Tower

O AWS Control Tower configura contas, unidades organizacionais e outros recursos em seu nome, mas você é o proprietário desses recursos. É possível alterar esses recursos dentro do AWS Control Tower ou fora dele. O local mais comum para alterar recursos fora do AWS Control Tower é o console do AWS Organizations. Este tópico descreve como reconciliar alterações em recursos do AWS Control Tower ao fazer as alterações fora do AWS Control Tower.

Renomear, excluir e mover recursos fora do console do AWS Control Tower pode fazer com que o console fique dessincronizado. Muitas alterações podem ser reconciliadas automaticamente. Certas alterações exigem um reparo na zona de pouso para atualizar as informações exibidas no console do AWS Control Tower.

Em geral, as alterações feitas fora do console do AWS Control Tower nos recursos do AWS Control Tower criam um estado de desvio reparável na zona de pouso. Consulte mais informações sobre essas alterações em Alterações reparáveis em recursos.

Tarefas que exigem redefinição da zona de pouso

  • Excluir a UO de segurança (um caso especial, não deve ser feito sem motivo).

  • Remover uma conta compartilhada da UO de segurança (não recomendado).

  • Atualizar, anexar ou desanexar uma SCP associada à UO de segurança.

Alterações que são atualizadas automaticamente pelo AWS Control Tower

  • Alterar o endereço de e-mail de uma conta registrada

  • Renomear uma conta registrada

  • Criar uma unidade organizacional (UO) de nível superior

  • Renomear uma UO registrada

  • Excluir uma UO registrada (exceto a UO de segurança, que requer uma atualização).

  • Excluir uma conta inscrita (exceto uma conta compartilhada na OU de segurança).

nota

O AWS Service Catalog lida com as alterações de forma diferente do AWS Control Tower. O AWS Service Catalog pode criar uma alteração no procedimento de governança quando reconciliar suas alterações. Consulte mais informações sobre como atualizar um produto provisionado em Updating Provisioned Products na documentação do AWS Service Catalog.

Referir-se a recursos fora do AWS Control Tower

Ao criar UOs e contas fora do AWS Control Tower, elas não são administradas pelo AWS Control Tower, mesmo que possam ser exibidas.

Criar uma UO

Unidades organizacionais (UOs) criadas fora do AWS Control Tower são chamadas de Não registradas. Elas são exibidas na página Organização, mas não são administrados pelos controles do AWS Control Tower.

Criar uma conta

Contas criadas fora do AWS Control Tower são chamadas de Não inscritas. As contas inscritas e não inscritas que pertencem a uma UO registrada no AWS Control Tower são exibidas na página Organização. Contas que não pertencem a uma UO registrada podem ser convidadas usando o console do AWS Organizations. Esse convite para participar não inscreve a conta no AWS Control Tower nem estende a governança do AWS Control Tower para a conta. Para estender a governança inscrevendo a conta, acesse a página Organização na página Detalhe da conta no AWS Control Tower e selecione Inscrever conta.

Alteração externa dos nomes dos recursos do AWS Control Tower

É possível alterar os nomes de suas unidades organizacionais (UOs) e contas fora do console do AWS Control Tower, e o console é atualizado automaticamente para refletir essas alterações.

Renomear uma UO

No AWS Organizations, é possível alterar o nome de uma UO usando a API do AWS Organizations ou o console. Quando você altera o nome de uma UO fora do AWS Control Tower, ele reflete automaticamente a alteração do nome. No entanto, se você provisionar suas contas usando o AWS Service Catalog, você também deverá redefinir a zona de pouso para garantir que o AWS Control Tower permaneça consistente com o AWS Organizations. O fluxo de trabalho de redefinição garante a consistência entre os serviços das UOs básicas e adicionais. É possível resolver esse tipo de desvio na página Configurações de zona inicial. Consulte a seção chamada “Resolver desvios” em Detectar e resolver desvios no AWS Control Tower.

O AWS Control Tower exibe os nomes das UOs na página Organização no painel do AWS Control Tower. Você pode ver quando sua operação de redefinição da zona de pouso foi bem-sucedida.

Renomear uma conta registrada

Cada conta da AWS tem um nome de exibição que pode ser alterado pelo usuário-raiz da conta no console do AWS Billing and Cost Management. Quando você renomeia uma conta que está inscrita no AWS Control Tower, a mudança de nome é automaticamente refletida no AWS Control Tower. Consulte mais informações sobre como alterar o nome de uma conta em Managing an AWS account no Guia do usuário de Faturamento da AWS.

Excluir a UO de segurança

Esse tipo de oscilação é um caso especial. Se excluir a UO de segurança será exibida uma página de mensagem de erro solicitando redefinir a zona de pouso. É necessário redefinir a zona de pouso antes de poder executar qualquer outra ação no AWS Control Tower.

  • Você não poderá executar nenhuma ação no console do AWS Control Tower nem poderá criar outras contas no AWS Service Catalog até que a redefinição seja concluída.

  • Você não poderá visualizar a página Configurações de zona inicial para localizar o botão Redefinir.

Nessa situação, o processo de redefinição da zona de pouso cria outra UO de segurança e move as duas contas compartilhadas para a nova UO de segurança. O AWS Control Tower marca as contas de arquivamento de logs e de auditoria como com desvio. O mesmo processo resolve o desvio nessas contas.

Se você determinar que deve excluir a UO de segurança, saiba que:

Antes de excluir a UO de segurança, é necessário verificar se ela não contém contas. Especificamente, é necessário remover as contas de arquivamento de logs e de auditoria da UO. Recomendamos que você mova essas contas para outra UO.

nota

A ação de excluir a UO de segurança não deve ser executada sem a devida consideração. A ação poderá criar preocupações de conformidade se o registro em log for suspenso temporariamente e porque alguns controles poderão não ser aplicados.

Para obter informações gerais sobre oscilação, consulte "Resolver oscilações" em Detectar e resolver desvios no AWS Control Tower.

Remover uma conta da OU de segurança

Não recomendamos que você remova nenhuma das contas compartilhadas da sua organização nem as retire da UO de segurança. Se você tiver removido uma conta compartilhada por engano, poderá seguir os passos de correção nesta seção para restaurar a conta.

  • No console do AWS Control Tower: para iniciar o processo de correção, siga as etapas semimanuais. Certifique-se de que o usuário ou o perfil que você usa para acessar o console do AWS Control Tower tenha permissões para executar organizations:InviteAccountToOrganization. Se você não tiver essas permissões, siga as etapas de correção manual, que usam tanto o console do AWS Control Tower quanto o console do AWS Organizations.

  • Começando pelo console do AWS Organizations: esse processo de correção é um procedimento um pouco mais longo, totalmente manual. Ao seguir as etapas de correção manual, você alternará entre o console do AWS Organizations e o console do AWS Control Tower. Ao trabalhar no AWS Organizations, você precisará de um usuário ou perfil com a política gerenciada AWSOrganizationsFullAccess ou equivalente. Ao trabalhar no console do AWS Control Tower, você precisará de um usuário ou perfil com a política gerenciada AWSControlTowerServiceRolePolicy ou equivalente e permissão para executar todas as ações do AWS Control Tower (controltower:*).

  • Se as etapas de correção não restaurarem a conta, entre em contato com oAWS Support.

Os resultados da remoção de uma conta compartilhada por meio do AWS Organizations:

  • A conta não está mais protegida pelos controles obrigatórios do AWS Control Tower com políticas de controle de serviços (SCPs). Resultado: os recursos criados pelo AWS Control Tower na conta podem ser modificados ou excluídos.

  • A conta não está mais sob a conta de gerenciamento do AWS Organizations. Resultado: o administrador da conta de gerenciamento do AWS Organizations não tem mais visibilidade dos gastos da conta.

  • Não é mais garantido que a conta seja monitorada pelo AWS Config. Resultado: o administrador da conta de gerenciamento do AWS Organizations talvez não consiga detectar alterações nos recursos.

  • A conta não faz mais parte da organização. Resultado: as atualizações e redefinições do AWS Control Tower falharão.

Para restaurar uma conta compartilhada usando o console do AWS Control Tower (procedimento semimanual)

  1. Faça login no console do AWS Control Tower em https://console.aws.amazon.com/controltower. Você deve fazer login como usuário do IAM, usuário no Centro de Identidade do IAM ou perfil com permissões para executar organizations:InviteAccountToOrganization. Se você não tiver essas permissões, use o procedimento de correção manual descrito posteriormente neste tópico.

  2. Na página Desvio da zona de pouso detectado, escolha Convidar novamente para corrigir a remoção da conta compartilhada, convidando-a novamente para a organização. Um e-mail gerado automaticamente é enviado ao endereço de e-mail da conta.

  3. Aceite o convite para trazer a conta compartilhada de volta à organização. Execute um destes procedimentos:

    • Faça login na conta compartilhada que foi removida e acesse https://console.aws.amazon.com/organizations/home#/invites

    • Se você tiver acesso à mensagem de e-mail enviada quando convidou novamente a conta, faça login na conta removida e clique no link na mensagem para acessar diretamente o convite da conta.

    • Se a conta compartilhada que foi removida não estiver em outra organização, faça login na conta, abra o console do AWS Organizations e acesse Convites.

  4. Faça login na conta de gerenciamento novamente ou recarregue o console do AWS Control Tower se ele já estiver aberto. Você verá a página de Desvio da zona de pouso. Escolha Redefinir para reparar a zona de pouso.

  5. Aguarde a conclusão do processo de redefinição.

Se a correção for bem-sucedida, a conta compartilhada aparecerá em um estado normal e em conformidade.

Se as etapas de correção não restaurarem a conta, entre em contato com oAWS Support.

Como restaurar uma conta compartilhada usando o console do AWS Control Tower e os consoles do AWS Organizations (procedimento semimanual)

  1. Faça login no console do AWS Organizations em https://console.aws.amazon.com/organizations/. Você deve fazer login como usuário do IAM, usuário no Centro de Identidade do IAM ou perfil com a política gerenciada AWSOrganizationsFullAccess ou equivalente.

  2. Convide a conta compartilhada de volta à organização. Consulte informações sobre os requisitos, pré-requisitos e procedimentos para convidar uma conta para o AWS Organizations em Inviting an AWS account to your organization no Guia do usuário do AWS Organizations.

  3. Faça login na conta compartilhada que foi removida e acesse https://console.aws.amazon.com/organizations/home#/invites para aceitar o convite.

  4. Faça login na conta de gerenciamento do novamente.

  5. Faça login no console do AWS Control Tower como usuário ou perfil com a política gerenciada AWSControlTowerServiceRolePolicy ou equivalente e permissões para executar todas as ações do AWS Control Tower (controltower:*).

  6. Você verá a página Desvio da zona de pouso com a opção de redefinir a zona de pouso. Escolha Redefinir para reparar a zona de pouso.

  7. Aguarde a conclusão do processo de redefinição.

Se a correção for bem-sucedida, a conta compartilhada aparecerá em um estado normal e em conformidade.

Se as etapas de correção não restaurarem a conta, entre em contato com oAWS Support.

Alterações externas que são atualizadas automaticamente

As alterações feitas nos endereços de e-mail da sua conta são atualizadas pelo AWS Control Tower automaticamente, mas o Account Factory não as atualiza automaticamente.

Alterar o endereço de e-mail de uma conta controlada

O AWS Control Tower recupera e exibe endereços de e-mail conforme exigido pela experiência do console. Portanto, os endereços de e-mail de contas compartilhadas e de outras contas são atualizados e exibidos de forma consistente no AWS Control Tower depois de alterá-los.

nota

No AWS Service Catalog, o Account Factory exibe os parâmetros especificados no console quando você criou um produto provisionado. No entanto, o endereço de e-mail da conta original não será atualizado automaticamente quando o endereço de e-mail da conta for alterado. Isso ocorre porque a conta está contida conceitualmente no produto provisionado; não é a mesma que o produto provisionado. Para atualizar esse valor, é necessário atualizar o produto provisionado, o que pode causar uma alteração na postura de governança.

Aplicar regras externas do AWS Config

O AWS Control Tower exibe o status de conformidade de todas as regras do AWS Config implantadas em unidades organizacionais registradas no AWS Control Tower, incluindo regras que foram ativadas fora do console do AWS Control Tower.

Excluir recursos do AWS Control Tower fora do AWS Control Tower

Você pode excluir UOs e contas no AWS Control Tower e não precisa realizar nenhuma ação adicional para ver as atualizações. O Account Factory é atualizado automaticamente quando você exclui uma UO, mas não quando você exclui uma conta.

Excluir uma UO registrada (exceto a UO de segurança)

No AWS Organizations, é possível remover unidades organizacionais (UOs) vazias usando a API ou o console. As UOs que contêm contas não podem ser excluídas.

O AWS Control Tower receberá uma notificação do AWS Organizations quando uma UO for excluída. Ele atualiza a lista de UOs no Account Factory, para que a lista de UOs registradas permaneça consistente.

nota

No AWS Service Catalog, o Account Factory é atualizado para remover a UO excluída da lista de UOs disponíveis nas quais é possível provisionar uma conta.

Excluir uma conta registrada de uma UO

Quando você exclui uma conta inscrita, o AWS Control Tower recebe uma notificação e faz atualizações, para que as informações permaneçam consistentes.

nota

No AWS Service Catalog, o produto provisionado do Account Factory que representa a conta não é atualizado para removê-la. Em vez disso, o produto provisionado é exibido como TAINTED e em um estado de erro. Para limpar, acesse o AWS Service Catalog, escolha o produto provisionado e escolha Terminate (Encerrar).