As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Planeje sua zona de pouso da AWS Control Tower
Quando você passa pelo processo de configuração, o AWS Control Tower inicia um recurso importante associado à sua conta, chamado landing zone, que serve como base para suas organizações e suas contas.
nota
É possível ter uma zona de destino por organização.
Para obter informações sobre algumas das melhores práticas a serem seguidas ao planejar e configurar sua landing zone, consulteAWS estratégia de várias contas para sua zona de pouso da AWS Control Tower.
Maneiras de configurar a AWS Control Tower
Você pode configurar uma zona de pouso da AWS Control Tower em uma organização existente ou pode começar criando uma nova organização que contenha sua zona de pouso da AWS Control Tower.
-
Inicie AWS o Control Tower em uma organização existente: Esta seção é para clientes que já AWS Organizations estão prontos para serem governados pela AWS Control Tower.
-
Lance a AWS Control Tower em uma nova organização: Esta seção é para clientes sem contas existentes AWS Organizations OUs, e.
nota
Se você já tem uma AWS Organizations landing zone, você pode estender a governança da AWS Control Tower da zona de pouso existente para algumas ou todas as suas contas existentes OUs e dentro de uma organização. Consulte Governar organizações e contas existentes.
Compare a funcionalidade
Aqui está uma breve comparação das diferenças entre adicionar a AWS Control Tower a uma organização existente ou estender a governança da AWS Control Tower às OUs contas. Além disso, algumas considerações especiais se aplicam se você estiver migrando da solução AWS Landing Zone para a AWS Control Tower.
Sobre a adição a uma organização existente: Adicionar o AWS Control Tower a uma organização existente é algo que você pode fazer no AWS console. Nesse caso, você já criou uma organização no AWS Organizations serviço, essa organização não está atualmente registrada no AWS Control Tower e você deseja adicionar uma landing zone posteriormente.
Quando você adiciona uma landing zone a uma organização existente, a AWS Control Tower configura uma estrutura paralela, no AWS Organizations nível. Isso não altera as contas OUs e em sua organização existente.
Sobre a extensão da governança: A extensão da governança se aplica a contas específicas OUs dentro de uma única organização que já está registrada na AWS Control Tower, o que significa que já existe uma landing zone para essa organização. Estender a governança significa que os controles da AWS Control Tower são estendidos para que suas restrições se apliquem às contas específicas OUs dessa organização registrada. Nesse caso, você não está lançando uma nova zona de pouso, está apenas expandindo a zona de pouso atual para sua organização.
Importante
Consideração especial: Se você estiver usando atualmente a solução AWS Landing Zone (ALZ)
Inicie AWS o Control Tower em uma organização existente
Ao configurar uma landing zone da AWS Control Tower em uma organização existente, você pode começar a trabalhar imediatamente, paralelamente ao seu AWS Organizations ambiente existente. Seus outros OUs criados dentro permanecem AWS Organizations inalterados, porque não estão registrados no AWS Control Tower. Você pode continuar a usá-las OUs e as contas exatamente como estão.
AWSO Control Tower se consolida usando a conta de gerenciamento de sua organização existente como sua conta de gerenciamento. Nenhuma nova conta de gerenciamento é necessária. Você pode iniciar sua zona de pouso do AWS Control Tower a partir da sua conta de gerenciamento existente.
nota
Para configurar o AWS Control Tower em uma organização existente, seus limites de serviço devem permitir a criação de pelo menos duas contas adicionais.
Efeitos da adição da AWS Control Tower à sua organização existente
AWSA Control Tower cria duas contas em sua organização: uma conta de auditoria e uma conta de registro. Essas contas mantêm um registro das ações realizadas pela sua equipe, em suas contas individuais de usuário final. As contas de arquivamento de Auditoria e Registro aparecem na UO de Segurança dentro da landing zone da AWS Control Tower.
Quando você configura sua landing zone, as contas adicionadas pela AWS Control Tower se tornam parte de sua organização existente e AWS Organizations, como tal, tornam-se parte do faturamento de sua organização existente.
Resumo das capacidades
Habilitar o AWS Control Tower em uma AWS Organizations organização existente fornece vários aprimoramentos importantes para a organização.
-
Ele permite o faturamento unificado entre os grupos da sua organização, porque as contas adicionadas pelo AWS Control Tower se tornarão parte da sua organização existente.
-
Ele permite que você administre todas as contas de uma conta de gerenciamento em sua OU.
-
Ele simplifica a forma como você aplica e impõe controles que abrangem a segurança e a conformidade de contas novas e existentes.
Importante
Lançar sua zona de pouso da AWS Control Tower em uma AWS Organizations organização existente não permite que você estenda a governança da AWS Control Tower dessa organização para outras OUs ou contas que não estejam registradas na AWS Control Tower.
Para iniciar o AWS Control Tower em sua organização existente, siga o processo descrito emComece a usar o AWS Control Tower.
Para obter mais informações sobre como a AWS Control Tower interage com AWS Organizations organizações existentes, consulteGoverne organizações e contas com a AWS Control Tower.
Lance a AWS Control Tower em uma nova organização
Se você é novato na AWS Control Tower e ainda não trabalhou com ela AWS Organizations, o melhor lugar para começar é com nosso Configuração documento.
AWSA Control Tower configura uma organização para você automaticamente quando você não tem uma configurada.
