OUs aninhadas na AWS Control Tower - AWS Control Tower
Passo a passo em vídeoExpandir de uma estrutura de OU plana para uma estrutura de OU aninhadaPré-verificações de registro de OU aninhadasOUs e funções aninhadasO que acontece durante o registro e o novo registro de OUs e contas aninhadasConsiderações sobre o registro de OU aninhadaLimitações de UO aninhadasOUs aninhadas e conformidadeUOs aninhadas e driftUOs e controles aninhadosUOs aninhadas e a raiz

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

OUs aninhadas na AWS Control Tower

Este capítulo lista as expectativas e considerações que você deve conhecer ao trabalhar com OUs aninhadas no AWS Control Tower. Na maioria das formas, trabalhar com OUs aninhadas é o mesmo que trabalhar com uma estrutura de OU plana. Os recursos de Registro e Registro Novo funcionam com OUs aninhadas, exceto pelos comportamentos alterados que são observados neste capítulo.

Passo a passo em vídeo

Este vídeo (4:46) descreve como gerenciar implantações de OU aninhadas no AWS Control Tower. Para uma melhor visualização, selecione o ícone no canto inferior direito do vídeo para ampliá-lo em tela cheia. A legenda está disponível.

Para obter orientação sobre as melhores práticas para OUs aninhadas e sua zona de pouso, consulte a postagem do blog Organizando sua zona de pouso do AWS Control Tower com OUs aninhadas.

Expandir de uma estrutura de OU plana para uma estrutura de OU aninhada

Se você criou sua landing zone do AWS Control Tower com uma estrutura de OU plana, você pode expandi-la para uma estrutura de OU aninhada.

Esse processo tem quatro etapas principais:

  1. Crie sua estrutura de OU aninhada desejada no AWS Control Tower.

  2. Acesse o AWS Organizations console e use o recurso de movimentação em massa para mover as contas da OU de origem (plana) para a OU de destino (aninhada). Veja como:

    1. Vá para a OU da qual você deseja mover contas.

    2. Selecione todas as contas na OU.

    3. Selecione Mover.

      nota

      Essa etapa deve ser realizada no AWS Organizations console interno porque o AWS Control Tower não tem o recurso Move.

  3. Acesse a OU aninhada no AWS Control Tower e registre-a ou registre-a novamente. Todas as contas na OU aninhada serão inscritas.

    • Se você criou a OU no AWS Control Tower, registre novamente a OU.

    • Se você criou a OU em AWS Organizations, registre a OU pela primeira vez.

  4. Depois que suas contas forem movidas e registradas, exclua a OU vazia de nível superior, do AWS Organizations console ou do console do AWS Control Tower.

Pré-verificações de registro de OU aninhadas

Para apoiar o registro bem-sucedido de suas OUs aninhadas e de suas contas de membros, o AWS Control Tower realiza uma série de pré-verificações. Essas mesmas verificações prévias são realizadas ao registrar qualquer UO de nível superior ou UO aninhada. Para obter mais informações, consulte Causas comuns de falha durante o registro ou o novo registro.

  • Se todas as pré-verificações forem aprovadas, o AWS Control Tower começará a registrar sua OU automaticamente.

  • Se alguma pré-verificação falhar, o AWS Control Tower interrompe o processo de registro e fornece uma lista de itens que devem ser corrigidos antes que você possa registrar sua OU.

OUs e funções aninhadas

O AWS Control Tower implanta a AWSControlTowerExecution função em contas na OU de destino e em contas em todas as OUs aninhadas na OU de destino, mesmo quando sua intenção é registrar somente a OU de destino. Essa função concede a qualquer usuário da conta de gerenciamento permissões de administrador em qualquer conta que tenha a AWSControlTowerExecution função. A função pode ser usada para realizar ações que normalmente não seriam permitidas pelos controles do AWS Control Tower.

Você pode excluir essa função de contas não inscritas que você não planeja inscrever. Se você excluir essa função, não poderá registrar a conta no AWS Control Tower nem registrar as OUs principais imediatas, a menos que você restaure a função na conta. Para excluir a AWSControlTowerExecution função de uma conta, você deve estar conectado com a AWSControlTowerExecution função, porque nenhum outro diretor do IAM tem permissão para excluir funções gerenciadas pelo AWS Control Tower.

Para obter informações sobre como restringir o acesso à função, consulte Condições opcionais para as relações de confiança da sua função.

O que acontece durante o registro e o novo registro de OUs e contas aninhadas

Quando você registra ou registra novamente uma OU aninhada, o AWS Control Tower inscreve todas as contas não inscritas da OU de destino e atualiza todas as contas inscritas. Aqui está o que esperar.

O AWS Control Tower executa as seguintes tarefas

  • Adiciona a AWSControlTowerExecution função a todas as contas não inscritas nesta OU e a todas as contas não inscritas em suas OUs aninhadas.

  • Registra contas de membros que não estão inscritas.

  • Reinscreve as contas dos membros inscritos.

  • Cria um login do IAM Identity Center para contas de membros recém-inscritas.

  • Atualiza as contas de membros inscritos existentes para refletir as mudanças na sua landing zone.

  • Atualiza os controles que estão configurados para essa OU e suas contas de membros.

Considerações sobre o registro de OU aninhada

  • Você não pode registrar uma OU na OU principal (OU de segurança).

  • As OUs aninhadas devem ser registradas separadamente.

  • Você não pode registrar uma OU a menos que sua OU principal esteja registrada.

  • Você não pode registrar uma OU a menos que todas as OUs superiores na árvore tenham sido registradas com sucesso em algum momento (algumas podem ter sido excluídas).

  • Você pode registrar uma OU que esteja sob uma OU derivada superior, mas a variação não é reparada por essa ação.

Limitações de UO aninhadas

  • As OUs podem estar aninhadas a no máximo 5 níveis de profundidade abaixo da raiz.

  • As OUs aninhadas na OU de destino devem ser registradas ou registradas novamente separadamente.

  • Se a OU de destino estiver no nível 2 ou abaixo na hierarquia, ou seja, se não for uma OU de nível superior, os controles preventivos habilitados em OUs superiores serão aplicados automaticamente nessa OU e em todas as OUs abaixo dela.

  • As falhas de registro da OU não se propagam na árvore hierárquica. Você pode ver detalhes sobre os estados das OUs aninhadas na página de detalhes da OU dos pais.

  • As falhas de registro da OU não se propagam pela árvore hierárquica.

  • O AWS Control Tower não modifica suas configurações de VPC para nenhuma conta nova ou existente.

OUs aninhadas e conformidade

No console do AWS Control Tower, você pode visualizar OUs e contas que não estão em conformidade na página da organização, para que você possa entender a conformidade em uma escala maior.

Considerações sobre conformidade para OUs e contas aninhadas

  • A conformidade de uma OU não é determinada com base na conformidade das OUs aninhadas nela.

  • O status de conformidade de um controle é calculado em todas as OUs nas quais o controle está ativado, incluindo OUs aninhadas. Veja o status de conformidade do AWS Control Tower para UOs e contas w.

  • Uma OU é mostrada como não compatível somente se tiver contas incompatíveis, independentemente de onde a OU esteja na hierarquia da OU.

  • Se uma OU aninhada não estiver em conformidade, sua OU principal não será automaticamente considerada incompatível.

  • Na página de detalhes da OU ou na página de detalhes da conta, você pode ver uma lista de recursos não compatíveis que podem estar fazendo com que suas OUs ou contas mostrem um status de não conformidade.

UOs aninhadas e drift

Em determinadas situações, o desvio pode impedir o registro de OUs aninhadas.

Expectativas de OUs flutuantes e aninhadas

  • Você pode ativar controles em OUs com pais desviados, mas não diretamente em OUs desviados.

  • Você tem permissão para ativar os controles de detetive em uma OU desviada, desde que não seja uma OU desviada de nível superior.

  • Os controles obrigatórios são habilitados somente em OUs de nível superior. Os controles obrigatórios são ignorados quando você registra uma OU aninhada.

  • Um controle obrigatório protege AWS Config os recursos; portanto, esse controle deve estar em um estado não desviado para registrar OUs aninhadas. Se for desviado, o AWS Control Tower bloqueia o registro de OUs aninhadas.

  • Se a OU de nível superior estiver em desvio, o controle que protege os AWS Config recursos pode estar em desvio. Nessa situação, o AWS Control Tower bloqueia qualquer ação que exija a criação ou atualização de AWS Config recursos, incluindo a aplicação de controles de detetive.

UOs e controles aninhados

Quando você ativa um controle em uma OU registrada, os controles preventivos e de detetive têm comportamentos diferentes. Para OUs aninhadas, os controles proativos se comportam de forma semelhante aos controles de detetive.

Controles preventivos

  • Os controles preventivos são aplicados em OUs aninhadas.

  • Os controles preventivos obrigatórios são aplicados em todas as contas da OU e de suas OUs aninhadas.

  • Os controles preventivos afetam todas as contas e OUs aninhadas na OU de destino, mesmo que essas contas e OUs não estejam registradas.

Controles detectivos e proativos

  • As OUs aninhadas não herdam controles de detetive ou proativos automaticamente; eles devem ser ativados separadamente.

  • Controles detectivos e proativos são implantados somente em contas registradas nas regiões operacionais da sua zona de pouso.

Estados de controle e herança habilitados

Você pode ver os controles herdados de cada UO na página de detalhes da UO.

dica

Você pode usar a herança de controle para ajudar a permanecer dentro da cota de SCP de uma OU. Por exemplo, você pode habilitar um controle na OU de nível superior de uma hierarquia de OU, em vez de habilitar diretamente para uma OU aninhada.

Status herdado

  • O status Herdado indica que o controle é ativado somente por herança e não foi aplicado diretamente à OU.

  • O status Ativado significa que o controle é aplicado nessa OU, independentemente de seu estado em outras OUs.

  • O status Falha significa que o controle não é aplicado nesta OU, independentemente de seu estado em outras OUs.

nota

O status Herdado indica que o controle foi aplicado a uma OU mais alta na árvore e é aplicado a essa OU, mas não foi adicionado diretamente a essa OU.

Se sua landing zone não for a versão atual

Cada linha na tabela de controles ativados representa um controle ativado em uma OU individual.

UOs aninhadas e a raiz

A raiz não é uma UO e não pode ser registrada ou registrada novamente. Você também não pode criar contas diretamente na raiz. A raiz não pode ser incompatível nem ter um estado de ciclo de vida, como registrado ou em desvio.

No entanto, a raiz é o contêiner de nível superior para todas as contas e OUs. No contexto de OUs aninhadas, é o nó sob o qual todas as outras OUs estão aninhadas.