Aninhado OUs na AWS Control Tower - AWS Control Tower
Vídeo de demonstraçãoExpandir de uma estrutura de UO plana para uma estrutura de UO aninhadaPré-verificações de registro de UO aninhadaAninhado OUs e funçõesO que acontece durante o registro e o novo registro de contas aninhadas OUs Considerações sobre o registro de UO aninhadaLimitações da UO aninhadaAninhado OUs e em conformidadeAninhado OUs e à derivaAninhado OUs e controlesAninhado OUs e a raiz

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Aninhado OUs na AWS Control Tower

Este capítulo lista as expectativas e considerações que você deve conhecer ao trabalhar com o nested OUs in AWS Control Tower. Na maioria das formas, trabalhar com aninhado OUs é o mesmo que trabalhar com uma estrutura de OU plana. Os recursos de Registro e Registro Novo funcionam com o nested OUs, exceto pelos comportamentos alterados que são observados neste capítulo.

Vídeo de demonstração

Este vídeo (4:46) descreve como gerenciar implantações de UOs aninhadas no AWS Control Tower. Para uma melhor visualização, selecione o ícone no canto inferior direito do vídeo para ampliá-lo em tela cheia. A legenda está disponível.

Para obter orientação sobre as melhores práticas para o nested OUs e sua zona de pouso, consulte a postagem do blog Organizing your AWS Control Tower landing zone with OUs nested.

Expandir de uma estrutura de UO plana para uma estrutura de UO aninhada

Se você criou a zona de pouso do AWS Control Tower com uma estrutura de UO plana, é possível expandi-la para uma estrutura de UO aninhada.

Esse processo tem quatro etapas principais:

  1. Crie a estrutura de UO aninhada desejada no AWS Control Tower.

  2. Acesse o AWS Organizations console e use o recurso de movimentação em massa para mover as contas da OU de origem (plana) para a OU de destino (aninhada). Veja como:

    1. Vá para a UO da qual você deseja mover contas.

    2. Selecione todas as contas da UO.

    3. Selecione Mover.

      nota

      Essa etapa deve ser realizada no AWS Organizations console interno porque o AWS Control Tower não tem o recurso Move.

  3. Acesse a UO aninhada no AWS Control Tower e opte pelo Registro ou Novo registro dela. Todas as contas na UO aninhada serão inscritas.

    • Se você criou a UO no AWS Control Tower, opte pelo Novo registro dela.

    • Se você criou a OU em AWS Organizations, registre a OU pela primeira vez.

  4. Depois que suas contas forem movidas e registradas, exclua a OU vazia de nível superior, do AWS Organizations console ou do console do AWS Control Tower.

Pré-verificações de registro de UO aninhada

Para apoiar o registro bem-sucedido de suas contas aninhadas OUs e de seus membros, o AWS Control Tower realiza uma série de pré-verificações. Essas mesmas pré-verificações são realizadas ao registrar qualquer UO de nível superior ou UO aninhada. Consulte mais informações em Common causes of failure during registration or re-registration.

  • Se todas as pré-verificações forem aprovadas, o AWS Control Tower começará o registro da UO automaticamente.

  • Se alguma pré-verificação falhar, o AWS Control Tower interromperá o processo de registro e fornecerá uma lista de itens que devem ser corrigidos antes que você possa registrar a UO.

Aninhado OUs e funções

O AWS Control Tower implanta a AWSControlTowerExecution função em contas na OU de destino e em todas as contas OUs aninhadas na OU de destino, mesmo quando sua intenção é registrar somente a OU de destino. Esse perfil concede a qualquer usuário da conta de gerenciamento permissões de Administrador em qualquer conta que tenha o perfil AWSControlTowerExecution. O perfil pode ser usado para realizar ações que normalmente não seriam permitidas pelos controles do AWS Control Tower.

Você pode excluir esse perfil de contas não inscritas que não planeja inscrever. Se você excluir essa função, não poderá registrar a conta no AWS Control Tower nem registrar o responsável imediato OUs, a menos que você restaure a função na conta. Para excluir o perfil AWSControlTowerExecution de uma conta, é necessário fazer login com o perfil AWSControlTowerExecution, porque nenhuma outra entidade principal do IAM tem permissão para excluir perfis gerenciados pelo AWS Control Tower.

Consulte informações sobre como restringir o acesso ao perfil Optional conditions for your role trust relationships.

O que acontece durante o registro e o novo registro de contas aninhadas OUs

Quando você faz o registro ou o novo registro de uma UO aninhada, o AWS Control Tower inscreve todas as contas não inscritas da UO de destino e atualiza todas as contas inscritas. Veja o que esperar:

O AWS Control Tower realiza as seguintes tarefas

  • Adiciona a AWSControlTowerExecution função a todas as contas não inscritas nesta OU e a todas as contas não inscritas em sua lista aninhada. OUs

  • Registra contas-membros que não estão inscritas.

  • Reinscreve as contas-membros inscritas.

  • Cria um login do Centro de Identidade do IAM para contas-membros recém-inscritas.

  • Atualiza as contas-membros inscritas existentes para refletir as mudanças na zona de pouso.

  • Atualiza os controles que estão configurados para essa UO e suas contas-membros.

Considerações sobre o registro de UO aninhada

  • Não é possível registrar uma UO na UO principal (UO de segurança).

  • O Nested OUs deve ser registrado separadamente.

  • Não é possível registrar uma UO a menos que a UO principal esteja registrada.

  • Você não pode registrar uma OU a menos que todas as partes OUs superiores da árvore tenham sido registradas com sucesso em algum momento (algumas podem ter sido excluídas).

  • É possível registrar uma UO que esteja sob uma UO derivada superior, mas o desvio não é reparado por essa ação.

Limitações da UO aninhada

  • OUs pode ser aninhado a no máximo 5 níveis de profundidade abaixo da raiz.

  • Aninhado OUs sob a OU de destino, deve ser registrado ou registrado novamente separadamente.

  • Se a UO de destino estiver no Nível 2 ou abaixo na hierarquia, ou seja, se não for uma UO de nível superior, os controles preventivos ativados em níveis superiores OUs serão aplicados automaticamente nessa OU e em todas as que estão OUs abaixo dela.

  • As falhas de registro da UO não se propagam na árvore hierárquica. Você pode ver detalhes sobre os estados de aninhado OUs na página de detalhes da OU dos pais.

  • As falhas de registro da UO não se propagam pela árvore hierárquica.

  • O AWS Control Tower não modifica as configurações da VPC para nenhuma conta nova ou existente.

Aninhado OUs e em conformidade

No console do AWS Control Tower, você pode ver OUs todas as contas que não estão em conformidade na página Organização, para que você possa entender a conformidade em uma escala maior.

Considerações sobre conformidade para contas aninhadas OUs e

  • A conformidade de uma OU não é determinada com base na conformidade do OUs aninhado abaixo dela.

  • O status de conformidade de um controle é calculado OUs em todas as áreas nas quais o controle está ativado, inclusive OUs aninhado. Veja o status de conformidade OUs e as contas do AWS Control Tower.

  • Uma UO é mostrada como não estando em conformidade somente se tiver contas que não estejam em conformidade, independentemente de onde a UO esteja na hierarquia da UO.

  • Se uma UO aninhada não estiver em conformidade, a UO principal não será automaticamente considerada como não estando em conformidade.

  • Na página de detalhes da OU ou na página de detalhes da conta, você pode ver uma lista de recursos não compatíveis que podem estar fazendo com que sua conta OUs ou suas contas mostrem um status de não conformidade.

Aninhado OUs e à deriva

Em determinadas situações, a deriva pode impedir o registro de OUs aninhados.

Expectativas de deriva e aninhamento OUs

  • Você pode ativar os controles ativados OUs com pais desviados, mas não diretamente com os pais desviados OUs.

  • Você tem permissão para habilitar os controles de detecção em uma UO com desvio, desde que não seja uma UO com desvio de nível superior.

  • Os controles obrigatórios são ativados OUs somente no nível superior. Os controles obrigatórios são ignorados quando você registra uma UO aninhada.

  • Um controle obrigatório protege AWS Config os recursos; portanto, esse controle deve estar em um estado não desviado para se registrar aninhado. OUs Se for desviado, o AWS Control Tower bloqueia o registro de aninhados OUs.

  • Se a OU de nível superior estiver em desvio, o controle que protege os AWS Config recursos pode estar em desvio. Nessa situação, o AWS Control Tower bloqueia qualquer ação que exija a criação ou atualização de AWS Config recursos, incluindo a aplicação de controles de detetive.

Aninhado OUs e controles

Quando você habilita um controle em uma UO registrada, os controles preventivos e de detecção têm comportamentos diferentes. Para controles aninhados OUs e proativos, o comportamento é semelhante aos controles de detetive.

Controles preventivos

  • Os controles preventivos são aplicados no OUs nested.

  • Os controles preventivos obrigatórios são aplicados em todas as contas da OU e suas contas OUs aninhadas.

  • Os controles preventivos afetam todas as contas e estão OUs aninhados na OU de destino, mesmo que essas contas não OUs estejam registradas.

Controles proativos e de detecção

  • O Nested OUs não herda controles de detetive ou proativos automaticamente; eles devem ser ativados separadamente.

  • Controles proativos e de detecção são implantados somente em contas registradas nas regiões operacionais da zona de pouso.

Estados de controle e herança habilitados

É possível ver os controles herdados de cada UO na página Detalhes da UO.

dica

É possível usar a herança de controle para ajudar a permanecer dentro da cota de SCP de uma UO. Por exemplo, é possível habilitar um controle na UO de nível superior de uma hierarquia de UO, em vez de habilitar diretamente para uma UO aninhada.

Status herdado

  • O status Herdado indica que o controle é habilitado somente por herança e não foi aplicado diretamente à UO.

  • O status Ativado significa que o controle é aplicado nesta OU, independentemente de seu estado em outra OUs.

  • O status Falha significa que o controle não é aplicado nesta OU, independentemente de seu estado em outra OUs.

nota

O status Herdado indica que o controle foi aplicado a uma UO mais alta na árvore, mas não foi adicionado diretamente a essa UO.

Se a zona de pouso não for a versão atual

Cada linha na tabela Controles habilitados representa um controle habilitado em uma UO individual.

Aninhado OUs e a raiz

A raiz não é uma UO e não é possível fazer seu registro ou novo registro. Também não é possível criar contas diretamente na raiz. A raiz não pode não estar em conformidade nem ter um estado de ciclo de vida, como registrada ou em desvio.

No entanto, a raiz é o contêiner de nível superior para todas as contas e. OUs No contexto de aninhado OUs, é o nó sob o qual todos os outros OUs estão aninhados.