Resumo Pré-requisitos e limitações Arquitetura Ferramentas Épicos Solução de problemas Recursos relacionados

Migrar uma conta de AWS membro do AWS Organizations para a AWS Control Tower

Criado por Rodolfo Jr. Cerrada (2) AWS

Ambiente: produção

Tecnologias: gestão e governança; modernização

AWSserviços: AWS Organizations; AWS Control Tower

Resumo

Esse padrão descreve como migrar uma conta da Amazon Web Services (AWS) de AWS Organizations, onde é uma conta de membro governada por uma conta de gerenciamento, para a AWS Control Tower. Ao cadastrar a conta no AWS Control Tower, você pode aproveitar as proteções e os recursos preventivos e de detetive que simplificam a governança da sua conta. Talvez você também queira migrar sua conta de membro se sua conta de gerenciamento da AWS Organizations tiver sido comprometida e você queira mover as contas dos membros para uma nova organização que seja governada pela Control TowerAWS.

AWSO Control Tower fornece uma estrutura que combina e integra os recursos de vários outros AWS serviços, incluindo AWS Organizations, e garante conformidade e governança consistentes em seu ambiente de várias contas. Com AWS o Control Tower, você pode seguir um conjunto de regras e definições prescritas que ampliam as capacidades das AWS Organizations. Por exemplo, você pode usar barreiras de proteção para garantir que os registros de segurança e as permissões necessárias de acesso entre contas sejam criados e não alterados.

Pré-requisitos e limitações

Pré-requisitos

Uma AWS conta ativa
AWSConfiguração da Control Tower em sua organização-alvo em AWS Organizations (para obter instruções, consulte Configuração na documentação da AWS Control Tower)
Credenciais de administrador do AWS Control Tower (membro do AWSControlTowerAdminsgrupo)
Credenciais de administrador para a conta de origem AWS

Limitações

A conta de gerenciamento de origem no AWS Organizations deve ser diferente da conta de gerenciamento de destino na AWS Control Tower.

Versões do produto

AWSControl Tower versão 2.3 (fevereiro de 2020) ou posterior (consulte as notas de lançamento)

Arquitetura

O diagrama a seguir ilustra o processo de migração e arquitetura de referência. Esse padrão migra a AWS conta da organização de origem para uma organização de destino que é governada pela AWS Control Tower.

AWSProcesso de inscrição na Control Tower para uma AWS conta que foi migrada para outra organização e movida para uma OU registrada.

O processo de inscrição consiste em três etapas:

A conta sai da organização de origem em AWS Organizations.
A conta se torna uma conta autônoma. Isso significa que ela não pertence a nenhuma organização, portanto, a governança e o faturamento são gerenciados de forma independente pelos administradores da conta.
A organização de destino envia um convite para que a conta participe da organização.
A conta independente aceita o convite e se torna membro da organização de destino.
A conta é inscrita na AWS Control Tower e movida para uma unidade organizacional (OU) registrada. (Recomendamos que você verifique o painel do AWS Control Tower para confirmar a inscrição.) Nesse ponto, todas as barreiras de proteção habilitadas na OU registrada entram em vigor.

Ferramentas

AWSserviços

AWSOrganizations é um serviço de gerenciamento de contas que permite consolidar várias AWS contas em uma única entidade (uma organização) que você cria e gerencia centralmente.
AWSO Control Tower integra os recursos de outros serviços, incluindo AWS Organizations, AWS IAM Identity Center (sucessor do AWS Single Sign-On) e AWS Service Catalog, para ajudar você a aplicar e gerenciar regras de governança para segurança, operações e conformidade em grande escala em todas as suas organizações e contas na nuvem. AWS

Épicos

Tarefa	Descrição	Habilidades necessárias
Verifique se a conta do membro pode ser executada como uma conta independente.	Confirme se a conta membro que sairá da organização de origem tem as informações necessárias para operar como uma conta independente. Por exemplo, se a conta do membro não tiver informações de cobrança, ela não poderá operar como uma conta independente, pois AWS usa as informações de pagamento para cobrar por qualquer AWS atividade faturável que ocorra enquanto a conta não está vinculada a uma organização. Normalmente, se você criou a conta do membro usando o console AWS Organizations ou os comandos da AWS Command Line Interface (CLI), as informações necessárias das contas independentes não são coletadas automaticamente. API Para adicionar essas informações, faça login na conta e especifique um plano de suporte, informações de contato e uma forma de pagamento. Para obter mais informações sobre o que você precisa saber antes de remover uma conta de uma organização, consulte Antes de remover uma conta da organização na documentação de AWS Organizations.	Administrador da conta
Remova a conta membro da sua organização de origem.	Siga as instruções na documentação de AWS Organizations para remover uma conta de membro de uma organização. Você pode entrar na conta de gerenciamento da organização e remover a conta do membro, ou entrar na conta do membro e sair da organização. Se não tiver credenciais de administrador para remover ou sair da conta, peça ajuda ao administrador da sua organização. Se a conta do membro não tiver um plano de suporte, informações de contato ou informações de pagamento, você será solicitado a fornecer e verificar essas informações. Ao sair da organização, você é redirecionado para a página Getting Started do console AWS Organizations, onde você pode ver os convites para sua conta se juntar a outras organizações. Importante: neste momento, sua conta é uma conta independente. Se você estiver executando cargas de trabalho que não são cobertas pelo nível AWS gratuito, você será cobrado de acordo com as informações de pagamento e cobrança fornecidas para a conta.	Administrador da conta de gerenciamento ou administrador da conta
Verifique se a conta-membro deixa de fazer parte da organização de origem.	No console AWS Organizations, você não deve mais ver o botão Sair da organização. Em vez disso, você deve ver convites pendentes, se houver, de outras organizações.	Administrador da conta
Remova as IAM funções que concedem acesso à sua conta da organização que você deixou.	Quando você remove a conta da organização de origem, as funções de AWS Identity and Access Management (IAM) criadas por AWS Organizations ou por administradores não são excluídas automaticamente. Para encerrar o acesso da conta de gerenciamento da organização de origem, você deve excluir manualmente as IAM funções. Para obter mais informações, consulte Excluir funções ou perfis de instância na IAM documentação. Quando uma conta-membro sai de uma organização, todas as tags anexadas à conta são excluídas. Contas autônomas não dão suporte para tags.	Administrador da conta

Tarefa	Descrição	Habilidades necessárias
Faça login na AWS Control Tower.	Faça login no console do AWS Control Tower como administrador. Atualmente, não há uma forma direta de mover uma AWS conta de uma organização de origem para uma organização em uma OU que seja governada pela AWS Control Tower. No entanto, você pode estender a governança da AWS Control Tower para uma AWS conta existente ao inscrevê-la em uma OU que já seja governada pela AWS Control Tower. É por isso que você precisa fazer login no AWS Control Tower para esta etapa.	AWSAdministrador da Control Tower
Convidar a conta-membro.	Faça login no console AWS Organizations e navegue até a página AWSAccounts. Na página Adicionar uma AWS conta, escolha Convidar uma AWS conta existente. Preencha as informações da conta, incluindo o número da conta de 12 dígitos (sem traços) e a descrição e as tags opcionais, e escolha Enviar convite. Importante: verifique se nenhum aplicativo ou conectividade de rede será afetado pela transferência da conta. Essa ação envia um e-mail de convite com um link para a conta-membro. Quando o administrador da conta segue o link e aceita o convite, a conta do membro aparece na página de AWScontas. Para obter mais informações, consulte Convidar uma AWS conta para se juntar à sua organização na documentação de AWS Organizations.	AWSAdministrador da Control Tower
Teste aplicativos e conectividade.	Quando a conta do membro é registrada na nova organização, ela aparece na OU dentro de uma raiz. Ela também aparece no console da AWS Control Tower, marcada como não inscrita em contas, porque ainda não foi inscrita na OU registrada na AWS Control Tower. Verifique o seguinte: Verifique o painel do AWS Control Tower para ver se há alguma violação da barreira de proteção. Verifique a conectividade de rede (VPNou AWS Direct Connect) para garantir que ela não tenha sido afetada pela transferência. (Proprietários do aplicativo) Teste os aplicativos associados a essa conta para verificar se eles são executados conforme o esperado e se as dependências não foram afetadas pela transferência da conta.	AWSAdministrador da Control Tower, administrador de conta de membro, proprietários de aplicativos

Tarefa

Descrição

Habilidades necessárias

Faça login na AWS Control Tower.

Faça login no console do AWS Control Tower como administrador.

Atualmente, não há uma forma direta de mover uma AWS conta de uma organização de origem para uma organização em uma OU que seja governada pela AWS Control Tower. No entanto, você pode estender a governança da AWS Control Tower para uma AWS conta existente ao inscrevê-la em uma OU que já seja governada pela AWS Control Tower. É por isso que você precisa fazer login no AWS Control Tower para esta etapa.

AWSAdministrador da Control Tower

Convidar a conta-membro.

Faça login no console AWS Organizations e navegue até a página AWSAccounts.
Na página Adicionar uma AWS conta, escolha Convidar uma AWS conta existente.
Preencha as informações da conta, incluindo o número da conta de 12 dígitos (sem traços) e a descrição e as tags opcionais, e escolha Enviar convite.

Importante: verifique se nenhum aplicativo ou conectividade de rede será afetado pela transferência da conta.

Essa ação envia um e-mail de convite com um link para a conta-membro. Quando o administrador da conta segue o link e aceita o convite, a conta do membro aparece na página de AWScontas. Para obter mais informações, consulte Convidar uma AWS conta para se juntar à sua organização na documentação de AWS Organizations.

AWSAdministrador da Control Tower

Teste aplicativos e conectividade.

Quando a conta do membro é registrada na nova organização, ela aparece na OU dentro de uma raiz. Ela também aparece no console da AWS Control Tower, marcada como não inscrita em contas, porque ainda não foi inscrita na OU registrada na AWS Control Tower.

Verifique o seguinte:

Verifique o painel do AWS Control Tower para ver se há alguma violação da barreira de proteção.
Verifique a conectividade de rede (VPNou AWS Direct Connect) para garantir que ela não tenha sido afetada pela transferência.
(Proprietários do aplicativo) Teste os aplicativos associados a essa conta para verificar se eles são executados conforme o esperado e se as dependências não foram afetadas pela transferência da conta.

AWSAdministrador da Control Tower, administrador de conta de membro, proprietários de aplicativos

Tarefa	Descrição	Habilidades necessárias
Revise as barreiras de proteção e corrija quaisquer violações.	Revise as barreiras de proteção definidas na UO de destino, especialmente as grades de proteção preventivas, e corrija quaisquer violações. Várias grades de proteção preventivas obrigatórias são ativadas por padrão quando você configura sua zona de pouso da AWS Control Tower. Elas não podem ser desabilitadas. Você deve revisar essas barreiras de proteção obrigatórias e corrigir a conta do membro (manualmente ou usando um script) antes de cadastrar a conta. Observação: as proteções preventivas mantêm as contas registradas da AWS Control Tower em conformidade e evitam violações de políticas. Qualquer violação das barreiras de proteção preventivas pode afetar a inscrição. Detective que violar a barreira de proteção aparece no painel da AWS Control Tower, se detectadas, após a inscrição bem-sucedida. Eles não afetam o processo de inscrição. Para obter mais informações, consulte Guardrails in AWS Control Tower na AWS documentação.	AWSAdministrador da Control Tower, administrador da conta de membro
Verifique se há problemas de conectividade depois de corrigir as violações da barreira de proteção.	Em alguns casos, você pode ter que fechar portas específicas ou desativar serviços para corrigir violações da barreira de proteção. Certifique-se de que os aplicativos que usam essas portas e serviços sejam corrigidos antes de registrar a conta.	Proprietário do aplicativo

Tarefa

Descrição

Habilidades necessárias

Revise as barreiras de proteção e corrija quaisquer violações.

Revise as barreiras de proteção definidas na UO de destino, especialmente as grades de proteção preventivas, e corrija quaisquer violações.

Várias grades de proteção preventivas obrigatórias são ativadas por padrão quando você configura sua zona de pouso da AWS Control Tower. Elas não podem ser desabilitadas. Você deve revisar essas barreiras de proteção obrigatórias e corrigir a conta do membro (manualmente ou usando um script) antes de cadastrar a conta.

Observação: as proteções preventivas mantêm as contas registradas da AWS Control Tower em conformidade e evitam violações de políticas. Qualquer violação das barreiras de proteção preventivas pode afetar a inscrição. Detective que violar a barreira de proteção aparece no painel da AWS Control Tower, se detectadas, após a inscrição bem-sucedida. Eles não afetam o processo de inscrição. Para obter mais informações, consulte Guardrails in AWS Control Tower na AWS documentação.

AWSAdministrador da Control Tower, administrador da conta de membro

Verifique se há problemas de conectividade depois de corrigir as violações da barreira de proteção.

Em alguns casos, você pode ter que fechar portas específicas ou desativar serviços para corrigir violações da barreira de proteção. Certifique-se de que os aplicativos que usam essas portas e serviços sejam corrigidos antes de registrar a conta.

Proprietário do aplicativo

Tarefa	Descrição	Habilidades necessárias
Faça login no console do AWS Control Tower.	Use credenciais de login que tenham permissões administrativas para o Control TowerAWS. Não use as credenciais do usuário raiz (conta de gerenciamento) para registrar uma conta do AWS Organizations. Isso exibirá uma mensagem de erro.	AWSAdministrador da Control Tower
Registre a conta.	Na página Account Factory no AWS Control Tower, escolha Inscrever conta. Preencha os detalhes, incluindo o endereço de e-mail associado à conta que você deseja inscrever, o nome de exibição que aparecerá no AWS Control Tower, o endereço de e-mail do IAM Identity Center, o nome e o sobrenome do proprietário da conta e a OU na qual você gostaria de inscrever a conta. O endereço de e-mail do IAM Identity Center é o endereço de e-mail de seu usuário preferido. Você pode usar o mesmo endereço de e-mail do e-mail da conta. Escolha Enroll account (Registrar conta). Para obter mais informações, consulte Inscrever uma conta existente na documentação da AWS Control Tower.	AWSAdministrador da Control Tower

Tarefa	Descrição	Habilidades necessárias
Verifique a conta.	Em AWS Control Tower, escolha Accounts. A conta que você acabou de cadastrar tem um estado inicial de Inscrição. Quando a inscrição é concluída, seu estado muda para Inscrito.	AWSAdministrador da Control Tower, administrador da conta de membro
Verifique se há violações da barreira de proteção.	As barreiras de proteção definidas na OU se aplicarão automaticamente à conta do membro inscrito. Monitore o painel do AWS Control Tower em busca de violações e corrija-as adequadamente. Para obter mais informações, consulte Guardrails in AWS Control Tower na AWS documentação.	AWSAdministrador da Control Tower, administrador da conta de membro

Solução de problemas

Problema	Solução
Você recebe a mensagem de erro: Ocorreu um erro desconhecido. Tente novamente mais tarde ou entre em contato com o AWS Support.	Esse erro ocorre quando você usa as credenciais do usuário raiz (conta de gerenciamento) no AWS Control Tower para registrar uma nova conta. AWSO Service Catalog não pode mapear o portfólio ou o produto Account Factory para o usuário raiz, o que resulta na mensagem de erro. Para corrigir esse erro, use as credenciais de usuário (administrador) não raiz e com acesso total para registrar a nova conta. Para obter mais informações sobre como atribuir acesso administrativo a um usuário administrativo, consulte Introdução na documentação do AWS IAM Identity Center (sucessor do AWS Single Sign-On).
A página AWS Control Tower Activities exibe uma ação Get Catastrophic Drift.	Essa ação reflete uma verificação de desvio do serviço e não indica nenhum problema com a configuração da AWS Control Tower. Nenhuma ação é necessária.

Problema

Solução

Você recebe a mensagem de erro: Ocorreu um erro desconhecido. Tente novamente mais tarde ou entre em contato com o AWS Support.

Esse erro ocorre quando você usa as credenciais do usuário raiz (conta de gerenciamento) no AWS Control Tower para registrar uma nova conta. AWSO Service Catalog não pode mapear o portfólio ou o produto Account Factory para o usuário raiz, o que resulta na mensagem de erro. Para corrigir esse erro, use as credenciais de usuário (administrador) não raiz e com acesso total para registrar a nova conta. Para obter mais informações sobre como atribuir acesso administrativo a um usuário administrativo, consulte Introdução na documentação do AWS IAM Identity Center (sucessor do AWS Single Sign-On).

A página AWS Control Tower Activities exibe uma ação Get Catastrophic Drift.

Essa ação reflete uma verificação de desvio do serviço e não indica nenhum problema com a configuração da AWS Control Tower. Nenhuma ação é necessária.

Recursos relacionados

Documentação

AWSTerminologia e conceitos de AWS organizações (documentação de organizações)
O que é AWS Control Tower? (Documentação da AWS Control Tower)
Removendo uma conta de membro da sua organização (documentação da AWS Organizations)
Criação de uma conta de administrador na AWS Control Tower (documentação da AWS Control Tower)

Tutoriais e vídeos

AWSControl Tower Workshop (oficina individualizada)
O que é AWS Control Tower? (vídeo)
Provisionamento de usuários na AWS Control Tower (vídeo)
Ativar a AWS Control Tower para organizações existentes (vídeo)

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerencie produtos do AWS Service Catalog em várias AWS contas e regiões

Monitore o uso de AMI várias AWS contas