Orientação para criar e modificar recursos da AWS Control Tower

Recomendamos as seguintes melhores práticas ao criar e modificar recursos na AWS Control Tower. Esta orientação pode mudar à medida que o serviço é atualizado. Lembre-se de que o modelo de responsabilidade compartilhada se aplica ao seu ambiente AWS Control Tower.

Orientação geral

Não modifique nem exclua nenhum recurso criado pela AWS Control Tower, incluindo recursos na conta de gerenciamento, nas contas compartilhadas e nas contas dos membros. Se você modificar esses recursos, talvez seja necessário atualizar sua landing zone ou registrar novamente uma OU, e a modificação pode resultar em relatórios de conformidade imprecisos.

Em particular:
- Mantenha um AWS Config gravador ativo. Se você excluir seu gravador Config, os controles de detetive não poderão detectar e relatar desvios. Recursos não compatíveis podem ser relatados como compatíveis devido à insuficiência de informações.
- Não modifique nem exclua as funções AWS Identity and Access Management (IAM) criadas nas contas compartilhadas na unidade organizacional (OU) de segurança. A modificação dessas funções pode exigir uma atualização da sua zona de destino.
- Não exclua a AWSControlTowerExecution função de suas contas de membros, mesmo em contas não inscritas. Se você fizer isso, não poderá cadastrar essas contas no AWS Control Tower nem registrar seus pais OUs imediatos.
Não proíba o uso de nenhum Regiões da AWS por meio de SCPs ou AWS Security Token Service (AWS STS). Isso fará com que o AWS Control Tower entre em um estado indefinido. Se você proibir regiões com AWS STS, sua funcionalidade falhará nessas regiões, porque a autenticação não estaria disponível nessas regiões. Em vez disso, confie na AWS capacidade de negar a região da Control Tower, conforme mostrado no controle, Negar acesso AWS com base no solicitado Região da AWS, que funciona no nível da zona de pouso, ou no controle de negação da região de controle aplicado à OU, que funciona no nível da OU para restringir o acesso às regiões.
O AWS Organizations FullAWSAccess SCP deve ser aplicado e não deve ser mesclado com outroSCPs. Alterar isso não SCP é relatado como desvio; no entanto, algumas mudanças podem afetar a funcionalidade do AWS Control Tower de maneiras imprevisíveis, se o acesso a determinados recursos for negado. Por exemplo, se SCP for desanexada ou modificada, uma conta poderá perder o acesso a um AWS Config gravador ou criar uma lacuna no CloudTrail registro.
Não use o AWS Organizations DisableAWSServiceAccess API para desativar o acesso do serviço AWS Control Tower à organização em que você configurou sua landing zone. Se você fizer isso, alguns recursos de detecção de desvio do AWS Control Tower podem não funcionar corretamente sem o suporte de mensagens do AWS Organizations. Esses recursos de detecção de desvios ajudam a garantir que a AWS Control Tower possa relatar o status de conformidade de unidades organizacionais, contas e controles em sua organização com precisão. Para ter mais informações, consulte API_DisableAWSServiceAccess na AWS Organizations Referência da API.
Em geral, o AWS Control Tower executa uma única ação por vez, que deve ser concluída antes que outra ação possa começar. Por exemplo, se você tentar provisionar uma conta enquanto o processo de habilitação de um controle já estiver em operação, o provisionamento da conta falhará.

Exceção:
- AWSO Control Tower permite ações simultâneas para implantar controles opcionais. Para obter mais informações, consulte Implantação simultânea para controles opcionais.
- AWSO Control Tower permite até dez ações simultâneas de criação, atualização ou inscrição em contas, com o Account Factory.

nota

Para obter mais informações sobre os recursos criados pelo AWS Control Tower, consulteQuais são as contas compartilhadas?.

Dicas sobre contas e OUs

Recomendamos que você mantenha cada OU registrada em um máximo de 1.000 contas, para que você possa atualizar essas contas com o recurso Registrar novamente a OU sempre que forem necessárias atualizações de conta, como ao configurar novas regiões para governança.
Para reduzir o tempo necessário ao registrar uma OU, recomendamos que você mantenha o número de contas por OU em torno de 680, mesmo que o limite seja de 1.000 contas por OU. Como regra geral, o tempo necessário para registrar uma OU aumenta de acordo com o número de regiões nas quais sua OU está operando, multiplicado pelo número de contas na OU.
Como estimativa, uma OU com 680 contas pode exigir até 2 horas para se registrar e ativar os controles, e até 1 hora para se registrar novamente. Além disso, uma OU que tem muitos controles leva mais tempo para ser registrada do que uma OU com poucos controles.
Uma preocupação em permitir um prazo maior para registrar uma OU é que esse processo bloqueia outras ações. Alguns clientes se sentem confortáveis em permitir períodos mais longos para registrar ou registrar novamente uma OU, porque preferem permitir mais contas em cada OU.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Recomendações para configurar grupos, funções e políticas

Quando fazer login como usuário root