Pré-requisito: verificações automáticas de pré-execução da conta de gerenciamento - AWS Control Tower
Considerações para clientes AWS IAM Identity Center (IAM Identity Center)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Pré-requisito: verificações automáticas de pré-execução da conta de gerenciamento

Antes que o AWS Control Tower configure a zona de pouso, ele executa automaticamente uma série de verificações de pré-execução em sua conta. Não é necessária nenhuma ação de sua parte para essas verificações, que garantem que sua conta de gerenciamento esteja pronta para as alterações que estabelecem a zona de pouso. Aqui estão as verificações executadas pelo AWS Control Tower antes de configurar uma zona de pouso:

  • Os limites de serviço existentes para o Conta da AWS devem ser suficientes para o lançamento do AWS Control Tower. Para obter mais informações, consulte Limitações e cotas no AWS Control Tower.

  • Eles Conta da AWS devem ser assinantes dos seguintes AWS serviços:

    • Amazon Simple Storage Service (Amazon S3)

    • Nuvem de computação elástica da Amazon (Amazon EC2)

    • Amazon SNS

    • Amazon Virtual Private Cloud (Amazon VPC)

    • AWS CloudFormation

    • AWS CloudTrail

    • Amazon CloudWatch

    • AWS Config

    • AWS Identity and Access Management (IAM)

    • AWS Lambda

    nota

    Por padrão, todas as contas são inscritas nesses serviços.

Considerações para clientes AWS IAM Identity Center (IAM Identity Center)

  • Se o AWS IAM Identity Center (IAM Identity Center) já estiver configurado, a região de origem do AWS Control Tower deve ser a mesma que a região do IAM Identity Center.

  • O Centro de Identidade do IAM só pode ser instalado na conta de gerenciamento de uma organização.

  • Três opções se aplicam ao seu diretório do Centro de Identidade do IAM, com base na fonte de identidade que você escolher:

    • Repositório de Usuários do Centro de Identidade do IAM: se o AWS Control Tower estiver configurado com o Centro de Identidade do IAM, o AWS Control Tower cria grupos no diretório do Centro de Identidade do IAM e provisiona o acesso a esses grupos, para o usuário selecionado, para contas-membros.

    • Active Directory: se o Centro de Identidade do IAM para o AWS Control Tower estiver configurado com o Active Directory, o AWS Control Tower não gerenciará o diretório do Centro de Identidade do IAM. Ele não atribui usuários ou grupos a novas contas da AWS .

    • Provedor de identidade externo: se o Centro de Identidade do IAM para o AWS Control Tower estiver configurado com um provedor de identidades (IdP) externo, o AWS Control Tower criará grupos no diretório do Centro de Identidade do IAM e provisionará o acesso a esses grupos ao usuário selecionado para contas-membros. Você pode especificar um usuário existente do seu IdP externo no Account Factory durante a criação da conta, e o AWS Control Tower concede a esse usuário acesso à conta recém-fornecida ao sincronizar usuários com o mesmo nome entre o Centro de Identidade do IAM e o IdP externo. Você também pode criar grupos no IdP externo para corresponder aos nomes dos grupos padrão no AWS Control Tower. Quando você atribui usuários a esses grupos, esses usuários terão acesso às contas inscritas.

    Consulte mais informações sobre como trabalhar com o Centro de Identidade do IAM e o AWS Control Tower em O que você deve saber sobre as contas do Centro de Identidade do IAM e o AWS Control Tower.

Considerações para AWS Config e para clientes AWS CloudTrail

  • Conta da AWS Não é possível ter acesso confiável habilitado na conta de gerenciamento da organização para AWS Config. Para obter informações sobre como desabilitar o acesso confiável, consulte a AWS Organizations documentação sobre como habilitar ou desabilitar o acesso confiável.

  • Se você tem um AWS Config gravador, canal de entrega ou configuração de agregação existente em qualquer conta existente que planeja inscrever no AWS Control Tower, você deve modificar ou remover essas configurações antes de começar a cadastrar as contas, depois que sua landing zone estiver configurada. Essa pré-verificação não se aplica à conta de gerenciamento do AWS Control Tower durante o lançamento da zona de pouso. Para obter mais informações, consulte Inscrever contas que tenham recursos do AWS Config existentes.

  • Se você estiver executando cargas de trabalho efêmeras a partir de contas no AWS Control Tower, poderá observar um aumento nos custos associados ao Config. AWS Entre em contato com o representante da sua conta da AWS para solicitar informações mais específicas de como gerenciar esses custos.

  • Quando você inscreve uma conta no AWS Control Tower, sua conta é governada pela AWS CloudTrail trilha da organização da AWS Control Tower. Se você já tiver uma implantação de uma CloudTrail trilha na conta, poderá ver cobranças duplicadas, a menos que exclua a trilha existente da conta antes de inscrevê-la no AWS Control Tower. Consulte informações sobre trilhas no nível da organização e o AWS Control Tower em Preços.

nota

Durante o lançamento, os endpoints do AWS Security Token Service (STS) devem ser ativados na conta de gerenciamento para todas as regiões governadas pelo AWS Control Tower. Caso contrário, a execução pode falhar no meio do processo de configuração.