Orientações para criar e modificar recursos do AWS Control Tower - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Orientações para criar e modificar recursos do AWS Control Tower

Indicamos a seguir as práticas recomendadas para criar e modificar recursos no AWS Control Tower. Essas orientações podem mudar à medida que o serviço é atualizado. Lembre-se de que o modelo de responsabilidade compartilhada se aplica ao seu ambiente do AWS Control Tower.

Orientação geral

  • Não modifique nem exclua nenhum recurso criado pelo AWS Control Tower, incluindo recursos na conta de gerenciamento, nas contas compartilhadas e nas contas-membros. Se você modificar esses recursos, talvez seja necessário atualizar a zona de pouso ou registrar novamente uma UO, e a modificação pode resultar em relatórios de conformidade imprecisos.

    Em particular:

    • Mantenha um AWS Config gravador ativo. Se você excluir o gravador do Config, os controles de detecção não poderão detectar e relatar desvios. Recursos não compatíveis podem ser relatados como Compatíveis devido à insuficiência de informações.

    • Não modifique nem exclua as funções AWS Identity and Access Management (IAM) criadas nas contas compartilhadas na unidade organizacional de segurança (OU). A modificação dessas funções pode exigir uma atualização da sua zona de destino.

    • Não exclua o perfil AWSControlTowerExecution de suas contas-membros, mesmo em contas não inscritas. Se você fizer isso, não poderá cadastrar essas contas no AWS Control Tower nem registrar seus pais OUs imediatos.

  • Não proíba o uso de nenhum Regiões da AWS por meio de SCPs ou AWS Security Token Service (AWS STS). Isso fará com que o AWS Control Tower entre em um estado indefinido. Se você proibir regiões com AWS STS, sua funcionalidade falhará nessas regiões, porque a autenticação não estaria disponível nessas regiões. Em vez disso, confie na capacidade de negar a região da torre de controle da AWS, conforme mostrado no controle, negue acesso AWS com base no solicitado Região da AWS, que funciona no nível da zona de pouso, ou no controle de negação da região de controle aplicado à OU, que funciona no nível da OU para restringir o acesso às regiões.

  • O AWS Organizations FullAWSAccess SCP deve ser aplicado e não deve ser mesclado com outro. SCPs A alteração nessa SCP não é relatada como um desvio. No entanto, algumas mudanças poderão afetar a funcionalidade do AWS Control Tower de maneiras imprevisíveis, se o acesso a determinados recursos for negado. Por exemplo, se o SCP for desanexado ou modificado, uma conta poderá perder o acesso a um AWS Config gravador ou criar uma lacuna no registro. CloudTrail

  • Não use a AWS Organizations DisableAWSServiceAccess API para desativar o acesso do serviço AWS Control Tower à organização em que você configurou sua landing zone. Se você fizer isso, certos recursos de detecção de desvios do AWS Control Tower poderão não funcionar adequadamente sem o suporte de mensagens do AWS Organizations. Esses recursos de detecção de desvios ajudam a garantir que o AWS Control Tower possa relatar o status de conformidade de unidades organizacionais, contas e controles em sua organização com precisão. Para ter mais informações, consulte API_DisableAWSServiceAccess na Referência da AWS Organizations API.

  • Em geral, o AWS Control Tower executa uma única ação por vez, que deve ser concluída para que a outra ação possa começar. Por exemplo, se você tentar provisionar uma conta enquanto o processo de habilitação de um controle já estiver em operação, ocorrerá uma falha no provisionamento de contas.

    Exceção:

    • O AWS Control Tower permite ações simultâneas para implantar controles opcionais. Consulte mais informações em Concurrent deployment for optional controls.

    • O AWS Control Tower permite até dez ações simultâneas de criação, atualização ou inscrição em contas com o Account Factory.

nota

Consulte mais informações sobre os recursos criados pelo AWS Control Tower em O que são as contas compartilhadas?.

Dicas sobre contas e OUs

  • Recomendamos que você mantenha cada UO registrada em um máximo de mil contas, para que seja possível atualizar essas contas com o recurso Registrar a UO novamente sempre que forem necessárias atualizações de conta, como ao configurar novas regiões para governança.

  • Para reduzir o tempo necessário ao registrar uma UO, recomendamos que você mantenha o número de contas por UO em torno de 680, mesmo que o limite seja de mil contas por UO. Como regra geral, o tempo necessário para registrar uma UO aumenta de acordo com o número de regiões nas quais a UO está operando, multiplicado pelo número de contas na UO.

  • Como estimativa, uma UO com 680 contas pode exigir até duas horas para o registro e a habilitação dos controles, e até uma hora para o novo registro. Além disso, uma UO que tem muitos controles leva mais tempo para ser registrada do que uma UO com poucos controles.

  • Uma preocupação em permitir um prazo maior para registrar uma UO é que esse processo bloqueia outras ações. Alguns clientes se sentem confortáveis em permitir períodos mais longos para o registro e o novo registro de uma OU, porque preferem permitir mais contas em cada UO.