AWS Organizations orientação

O AWS Control Tower está intimamente associado AWS Organizations a. Aqui estão algumas orientações específicas sobre como elas funcionam melhor juntas para proteger seu AWS ambiente.

Você pode encontrar orientações sobre as melhores práticas para proteger a segurança da sua conta de gerenciamento do AWS Control Tower e das contas dos membros na AWS Organizations documentação.
- Best practices for the management account
- Best practices for member accounts
Não atualize as políticas de controle de serviço existentes (SCPs) anexadas a uma OU registrada no AWS Control Tower. Isso pode fazer com que os controles entrem em um estado desconhecido, o que exigirá que você redefina a zona de pouso ou registre novamente sua UO no AWS Control Tower. Em vez disso, você pode usar AWS Organizations para criar novos SCPs e anexá-los ao que o AWS Control Tower criou em OUs vez de editar. SCPs
Mover contas individuais, já inscritas, para o AWS Control Tower, de fora de uma UO registrada, causa um desvio que deve ser resolvido. Consulte Tipos de deriva de governança.
Se você usa AWS Organizations para criar, convidar ou mover contas dentro de uma organização registrada na AWS Control Tower, essas contas não são inscritas pela AWS Control Tower e essas alterações não são registradas. Se for necessário acessar essas contas por meio de SSO, consulte Acesso à conta-membro.
Se você usa AWS Organizations para mover uma OU para uma organização criada pela AWS Control Tower, a OU externa não é registrada pela AWS Control Tower.
O AWS Control Tower lida com a filtragem de permissões de forma diferente do que AWS Organizations faz. Se suas contas forem provisionadas com a fábrica de contas do AWS Control Tower, os usuários finais poderão ver os nomes e os pais de todas OUs no console do AWS Control Tower, mesmo que não tenham permissão para recuperar esses nomes e pais diretamente. AWS Organizations
O AWS Control Tower não é compatível com permissões mistas em organizações, como permissão para visualizar a UO principal de uma UO, mas não para ver os nomes de UO. Por esse motivo, espera-se que os administradores do AWS Control Tower tenham permissões completas.
O AWS Organizations FullAWSAccess SCP deve ser aplicado e não deve ser mesclado com outro. SCPs A alteração nessa SCP não é relatada como um desvio. No entanto, algumas mudanças poderão afetar a funcionalidade do AWS Control Tower de maneiras imprevisíveis, se o acesso a determinados recursos for negado. Por exemplo, se o SCP for desanexado ou modificado, uma conta poderá perder o acesso a um AWS Config gravador ou criar uma lacuna no registro. CloudTrail
Não use a AWS Organizations DisableAWSServiceAccess API para desativar o acesso do serviço AWS Control Tower à organização em que você configurou sua landing zone. Se você fizer isso, certos recursos de detecção de desvios do AWS Control Tower poderão não funcionar adequadamente sem o suporte de mensagens do AWS Organizations. Esses recursos de detecção de desvios ajudam a garantir que o AWS Control Tower possa relatar o status de conformidade de unidades organizacionais, contas e controles em sua organização com precisão. Para ter mais informações, consulte API_DisableAWSServiceAccess na Referência da AWS Organizations API.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Quando fazer login como usuário-raiz

Orientações sobre o Centro de Identidade do IAM