As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Planeje sua zona de pouso do AWS Control Tower
Quando você passa pelo processo de configuração, o AWS Control Tower lança um recurso importante associado à sua conta, chamado landing zone, que serve como base para suas organizações e suas contas.
nota
É possível ter uma zona de destino por organização.
Para obter informações sobre algumas das melhores práticas a serem seguidas ao planejar e configurar sua landing zone, consulteAWS estratégia de várias contas para sua landing zone do AWS Control Tower.
Maneiras de configurar o AWS Control Tower
Você pode configurar uma zona de pouso do AWS Control Tower em uma organização existente ou pode começar criando uma nova organização que contenha sua zona de pouso do AWS Control Tower.
-
Inicie o AWS Control Tower em uma organização existente: Esta seção é para clientes que já AWS Organizations estão prontos para serem adotados pela AWS Control Tower.
-
Lance o AWS Control Tower em uma nova organização: esta seção é para clientes sem AWS OrganizationsOUs e contas existentes.
nota
Se você já tem uma AWS Organizations landing zone, você pode estender a governança do AWS Control Tower da zona de pouso existente para algumas ou todas as suas OUs e contas existentes dentro de uma organização. Consulte Governar organizações e contas existentes.
Compare a funcionalidade
Aqui está uma breve comparação das diferenças entre adicionar o AWS Control Tower a uma organização existente ou estender a governança do AWS Control Tower para OUs e contas. Além disso, algumas considerações especiais se aplicam se você estiver migrando da solução AWS Landing Zone para o AWS Control Tower.
Sobre a adição a uma organização existente: Adicionar o AWS Control Tower a uma organização existente é algo que você pode fazer dentro do AWS console. Nesse caso, você já tem uma organização que você criou no AWS Organizations serviço, essa organização não está atualmente registrada no AWS Control Tower e você deseja adicionar uma landing zone posteriormente.
Quando você adiciona uma landing zone a uma organização existente, o AWS Control Tower configura uma estrutura paralela, no AWS Organizations nível. Isso não altera as OUs e as contas em sua organização existente.
Sobre a extensão da governança: A extensão da governança se aplica a OUs e contas específicas em uma única organização que já está registrada no AWS Control Tower, o que significa que já existe uma landing zone para essa organização. Estender a governança significa que os controles do AWS Control Tower são estendidos para que suas restrições se apliquem às OUs e contas específicas dentro dessa organização registrada. Nesse caso, você não está lançando uma nova zona de pouso, está apenas expandindo a zona de pouso atual para sua organização.
Importante
Consideração especial: Se você está usando atualmente a soluçãoAWS Landing Zone (ALZ)
Inicie o AWS Control Tower em uma organização existente
Ao configurar uma landing zone do AWS Control Tower em uma organização existente, você pode começar a trabalhar imediatamente, paralelamente ao seu AWS Organizations ambiente atual. Suas outras OUs criadas dentro permanecem AWS Organizations inalteradas, porque não estão registradas no AWS Control Tower. É possível continuar a usar essas UOs e contas exatamente como estão.
O AWS Control Tower consolida usando a conta de gerenciamento da sua organização atual como sua conta de gerenciamento. Nenhuma nova conta de gerenciamento é necessária. Você pode iniciar sua landing zone do AWS Control Tower a partir da sua conta de gerenciamento existente.
nota
Para configurar o AWS Control Tower em uma organização existente, seus limites de serviço devem permitir a criação de pelo menos duas contas adicionais.
Efeitos da adição do AWS Control Tower à sua organização atual
O AWS Control Tower cria duas contas na sua organização: uma conta de auditoria e uma conta de registro. Essas contas mantêm um registro das ações realizadas pela sua equipe, em suas contas individuais de usuário final. As contas de arquivamento Audit e Log aparecem na OU de segurança dentro da sua landing zone do AWS Control Tower.
Quando você configura sua landing zone, as contas adicionadas pelo AWS Control Tower se tornam parte de sua organização existente e AWS Organizations, como tal, tornam-se parte do faturamento de sua organização atual.
Resumo das capacidades
Habilitar o AWS Control Tower em uma AWS Organizations organização existente fornece vários aprimoramentos importantes para a organização.
-
Ele permite o faturamento unificado entre os grupos da sua organização, porque as contas adicionadas pelo AWS Control Tower se tornarão parte da sua organização atual.
-
Ele permite que você administre todas as contas de uma conta de gerenciamento em sua OU.
-
Ele simplifica a forma como você aplica e impõe controles que abrangem a segurança e a conformidade de contas novas e existentes.
Importante
Lançar sua zona de pouso da AWS Control Tower em uma AWS Organizations organização existente não permite que você estenda a governança da AWS Control Tower dessa organização para outras OUs ou contas que não estejam registradas na AWS Control Tower.
Para lançar o AWS Control Tower em sua organização atual, siga o processo descrito emComece a usar o AWS Control Tower.
Para obter mais informações sobre como o AWS Control Tower interage com AWS Organizations organizações existentes, consulteGoverne organizações e contas com o AWS Control Tower.
Lance o AWS Control Tower em uma nova organização
Se você é novo no AWS Control Tower e ainda não trabalhou com ele AWS Organizations, o melhor lugar para começar é com nosso Configuração documento.
O AWS Control Tower configura uma organização para você automaticamente quando você não tem uma configurada.
