Implantação AWS Control Tower em uma organização da AWS Landing Zone - AWS Orientação prescritiva
Inscrever AWS contas existentes AWS Control Tower em uma organização existenteInscrevendo AWS contas de uma organização existente AWS Control Tower em uma nova organização

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Implantação AWS Control Tower em uma organização da AWS Landing Zone

Esse cenário detalha as etapas envolvidas na implantação AWS Control Tower em uma AWS Organizations organização que atualmente executa a solução AWS Landing Zone.

  1. Certifique-se de que você possa criar duas novas contas sem exceder as cotas de serviço atuais. Se necessário, solicite aumentos na cota de serviço. As novas contas serão implantadas como parte da AWS Control Tower implantação, a menos que você esteja usando contas existentes da zona de pouso que você usou para a AWS Landing Zone.

  2. Se você estiver usando atualmente AWS IAM Identity Center, implante AWS Control Tower na mesma AWS região em que o IAM Identity Center está configurado.

  3. No AWS Organizations console, escolha Desabilitar acesso confiável para AWS CloudTrail serviços AWS Config e serviços se eles estiverem ativados. Para obter mais informações, consulte a documentação do AWS.

  4. Implantar AWS Control Tower. Para obter mais informações, consulte a documentação do AWS.

Veja o que esperar ao configurar seu AWS Control Tower landing zone em uma organização existente.

  • Você pode ter uma landing zone em cada AWS Organizations organização.

  • AWS Control Tower usa a conta de gerenciamento da sua AWS Organizations organização existente como sua conta de gerenciamento. Nenhuma nova conta de gerenciamento é necessária.

  • AWS Control Tower configura duas novas contas em uma OU de segurança registrada: uma conta de auditoria e uma conta de arquivamento de registros, a menos que você esteja usando contas existentes durante a configuração. Se você estiver usando contas existentes, AWS Control Tower moverá as contas de auditoria e arquivamento de registros para a OU que você criou durante a AWS Control Tower implantação.

  • As cotas de serviço da sua organização devem ser adequadas para a criação dessas duas contas adicionais.

  • Após o lançamento, as AWS Control Tower grades de proteção se aplicam automaticamente às contas nessa OU.

  • Você pode inscrever outras AWS contas existentes em uma OU que seja governada por AWS Control Tower, para que as proteções se apliquem a essas contas.

Se você quiser inscrever alguma AWS conta existente ou OUs AWS Control Tower depois de configurada, consulte a seção Inscrever AWS contas existentes AWS Control Tower em uma organização existente do guia.

Inscrever AWS contas existentes AWS Control Tower em uma organização existente

Você pode estender a AWS Control Tower governança a uma AWS conta individual existente ao inscrevê-la em uma unidade organizacional (OU) que já é governada por. AWS Control Tower Existem contas elegíveis em não registradas OUs que fazem parte da mesma AWS Organizations organização da AWS Control Tower OU.

Você pode registrar uma OU no AWS Control Tower console. AWS Control Tower Quando você registra uma OU, AWS Control Tower inscreverá todas as contas da OU também. AWS Control Tower

Recomendamos registrar uma OU, em vez de cadastrar contas individuais. O benefício dessa abordagem é que a ID da OU não muda. Se você tiver alguma política ou regra que use a ID da OU, não precisará fazer nenhuma alteração.

Antes de registrar AWS contas com AWS Control Tower, exclua as instâncias da AWS CloudFormation pilha do conjunto de pilhas chamado. AWS-Landing-Zone-Baseline-EnableConfig Em cada conta que você deseja inscrever, em cada AWS região em que AWS Control Tower está implantada, você deve excluir a instância de AWS-Landing-Zone-Baseline-EnableConfig pilha. Como a exclusão do conjunto completo de pilhas leva tempo, recomendamos excluir as instâncias da pilha somente das contas que você está inscrevendo. Idealmente, a exclusão das instâncias da pilha de uma conta específica deve resultar na exclusão do AWS Config gravador e do canal de entrega. Você pode verificar a exclusão executando os seguintes comandos para essa conta.


      aws configservice describe-configuration-recorders --region <region_name>     
      aws configservice describe-delivery-channels --region <region_name>

Use o recurso AWS Control Tower Registrar OU do AWS Control Tower console

Antes de registrar uma OU inteira que tenha AWS contas existentes, faça o seguinte:

  • Exclua o AWS Config gravador e o canal de entrega de todas as regiões de todas as contas dessa OU, conforme mencionado anteriormente.

Para obter mais informações, consulte Registrar uma unidade organizacional existente com AWS Control Tower.

Depois que uma conta for cadastrada AWS Control Tower, você verá outro produto provisionado no Service Catalog para a conta que você inscreveu. O nome do produto provisionado será prefixado com Enroll-. Isso significa que agora você tem dois produtos provisionados no Service Catalog para uma única conta:

  • Um produto provisionado da AWS Landing Zone Account Vending Machine

  • Um produto provisionado a partir da inscrição no AWS Control Tower

Você tem a opção de encerrar o produto provisionado para uma conta da AWS Landing Zone, mas recomendamos que você espere até concluir a transição.

Quando você encerra o produto provisionado para contas vendidas no ambiente AWS Landing Zone, a Terminate operação começará a excluir os conjuntos de AWS CloudFormation pilhas de linha de base associados, que você talvez queira reter. Certifique-se de avaliar os conjuntos de pilhas de linha de base em manifest.yaml e entender as implicações de excluir os conjuntos de pilhas. Se você tiver algum recurso nos conjuntos de pilhas que queira reter, evite excluir o produto provisionado. Uma exclusão parcial renderizará o produto provisionado no estado Contaminado no console do Service Catalog.

Como alternativa, você pode reter o produto provisionado criado pela Account Vending Machine da AWS Landing Zone.

Inscrevendo AWS contas de uma organização existente AWS Control Tower em uma nova organização

Talvez você queira implantar AWS Control Tower em uma nova AWS Organizations organização. Para configurar AWS Control Tower em uma nova organização, conclua as seguintes etapas:

  1. Crie uma nova AWS conta.

  2. Implante AWS Control Tower na conta recém-criada.

  3. Para migrar uma AWS conta de uma organização existente para a nova organização em que você implantou AWS Control Tower, consulte as instruções. É importante analisar e compreender todas as considerações sobre acesso à conta, cobrança, licenciamento e impostos abordadas.

  4. Para entender o processo de migração de AWS contas entre organizações, consulte a postagem do blog Como migrar contas entre AWS Organizations com faturamento consolidado para todos os recursos.

  5. Comece a cadastrar a AWS conta em AWS Control Tower. Para realizar a inscrição, consulte a seção Registrando AWS contas existentes AWS Control Tower em uma organização existente.