本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
如果您在 AWS Control Tower 之外管理资源
AWS Control Tower 代表您设置账户、组织单位和其他资源,但您是这些资源的所有者。您可以在 AWS Control Tower 内部或外部更改这些资源。在 AWS Control Tower 之外更改资源的最常见位置是 AWS Organizations 控制台。本主题介绍当您在 AWS Control Tower 之外进行更改时,如何协调对 AWS Control Tower 资源的更改。
在 AWS Control Tower 控制台之外重命名、删除和移动资源会导致控制台不同步。许多更改都可以自动调节。某些更改需要重置您的着陆区,才能更新 AWS Control Tower 控制台中显示的信息。
通常,您在 AWS Control Tower 控制台之外对 AWS Control Tower 资源所做的更改会在您的着陆区中造成一种可解析的漂移状态。有关这些更改的更多信息,请参阅可修复的资源变更。
需要重置 landing zone 的任务
-
删除安全 OU(这是一种特殊情况,不能轻易完成。)
-
从安全 OU 中移除共享帐户(不推荐。)
-
更新、附加或分离与安全 OU 关联的 SCP。
由 AWS Control Tower 自动更新的更改
-
更改已注册账户的电子邮件地址
-
重命名已注册的账户
-
创建新的顶级组织单位 (OU)
-
重命名已注册的 OU
-
删除已注册的 OU(安全 OU 除外,需要更新。)
-
删除已注册的账户(安全 OU 中的共享账户除外。)
注意
AWS Service Catalog 处理变更的方式与 AWS Control Tower 不同。 AWS Service Catalog 当它协调您的更改时,可能会改变治理态势。有关更新预配置产品的更多信息,请参阅文档中的更新预配置产品。 AWS Service Catalog
引用 AWS Control Tower 之外的资源
当您在 AWS Control Tower 之外创建新的 OU 和账户时,它们不受 AWS Control Tower 的管辖,即使它们可能会显示出来。
创建 OU
在 AWS Control Tower 之外创建的组织单位 (OU) 被称为未注册。它们显示在组织页面中,但它们不受 AWS Control Tower 控件的约束。
创建账户
在 AWS Control Tower 之外创建的账户被称为未注册。属于在 AWS Control Tower 注册的 OU 的已注册账户和未注册账户将显示在组织页面上。可以使用 AWS Organizations 控制台邀请不属于已注册 OU 的账户。此加入邀请不会在 AWS Control Tower 中注册账户,也不会将 AWS 控制塔的管理范围扩展到该账户。要通过注册账户来扩大监管范围,请前往 AWS Control Tower 中的组织页面或账户详情页面,然后选择注册账户。
在外部更改 AWS Control Tower 资源名称
您可以在 AWS Control Tower 控制台之外更改组织单位 (OU) 和账户的名称,控制台会自动更新以反映这些更改。
重命名 OU
在中 AWS Organizations,您可以使用 AWS Organizations API 或控制台更改 OU 的名称。当您在 AWS Control Tower 之外更改 OU 名称时,AWS Control Tower 控制台会自动反映名称的更改。但是,如果您使用配置账户,则还必须重置您的着陆区 AWS Service Catalog,以确保 AWS Control Tower 与保持一致 AWS Organizations。重置工作流程可确保基础和附加 OU 的服务之间的一致性。您可以从着陆区设置页面解决此类偏移问题。请参阅中名为 “解决偏差” 的部分在 Cont AWS rol Tower 中检测并解决漂移问题。
AWS Control Tower 在 AWS 控制塔控制面板的组织页面上显示 OU 的名称。你可以看到你的 landing zone 重置操作何时成功。
重命名已注册的账户
每个 AWS 账户都有一个显示名称,该账户的 root 用户可以在 AWS Billing and Cost Management 控制台中更改该名称。当您重命名已在 AWS Control Tower 中注册的账户时,名称更改会自动反映在 AWS Control Tower 中。有关更改账户名称的更多信息,请参阅AWS 账单用户指南中的管理 AWS 账户。
删除安全 OU
此类偏差是一种特殊情况。如果您删除 Sec urit y OU,则会看到一个错误消息页面,提示您重置着陆区。您必须先重置着陆区,然后才能在 AWS Control Tower 中执行任何其他操作。
-
在重置完成 AWS Service Catalog 之前,您将无法在 AWS Control Tower 控制台中执行任何操作,也无法在中创建任何新账户。
-
您将无法查看着陆区域设置页面以查看那里的 “重置” 按钮。
在这种情况下,landing zone 重置过程会创建一个新的安全 OU,并将两个共享帐户移至新的安全 OU。AWS Control Tower 将日志存档和审计账户标记为已移动。同样的过程可以解决这些账户中的偏差。
如果您确定必须删除安全 OU,则需要了解以下内容:
在删除安全 OU 之前,必须确保它不包含任何帐户。具体而言,您必须从 OU 中移除日志存档和审核帐户。建议您将这些账户移至另一个 OU。
注意
未经适当考虑,不得执行删除您的安全 OU 的操作。如果暂时暂停日志记录,并且某些控制措施可能无法强制执行,则该操作可能会引起合规性问题。
有关偏差的一般信息,请参阅在 Cont AWS rol Tower 中检测并解决漂移问题中的“解决偏差”。
从安全 OU 中删除账户
我们不建议您从组织中删除任何共享帐户或将其移出安全 OU。如果您意外删除了共享帐户,则可以按照本节中的补救步骤恢复该帐户。
-
在 AWS Control Tower 控制台中:要开始修复过程,请按照半手动修复步骤进行操作。确保您用于访问 AWS Control Tower 控制台的用户或角色拥有运行权限
organizations:InviteAccountToOrganization。如果您没有此类权限,请按照手动修复步骤操作,这些步骤同时使用 AWS Control Tower 控制台和 AWS Organizations 控制台。 -
从 AWS Organizations 控制台开始:此修复过程稍长一些,完全手动完成。执行手动修复步骤时,您将在 AWS Organizations 控制台和 AWS Control Tower 控制台之间切换。在中工作时 AWS Organizations,您需要具有
AWSOrganizationsFullAccess托管策略或等效策略的用户或角色。在 AWS Control Tower 控制台中工作时,您需要具有AWSControlTowerServiceRolePolicy托管策略或同等策略的用户或角色,以及运行所有 AWS Control Tower 操作的权限(controltower:*)。 -
如果补救步骤未恢复账户,请联系 AWS Support。
通过 AWS Organizations以下方式删除共享账户的结果:
-
该账户不再受服务控制策略 (SCP) 的 AWS Control Tower 强制控制措施的保护。结果:AWS Control Tower 在账户中创建的资源可能会被修改或删除。
-
该账户已不在 AWS Organizations 管理账户下。结果: AWS Organizations 管理账户的管理员无法再查看账户的支出。
-
不再保证该账户会受到监控 AWS Config。结果: AWS Organizations 管理账户的管理员可能无法检测到资源变化。
-
该账户已不在组织中。结果:AWS Control Tower 更新和重置将失败。
使用 AWS Control Tower 控制台恢复共享账户(半手动程序)
-
登录 AWS Control Tower 控制台,网址为 https://console.aws.amazon.com/controltower
。您必须以 IAM 用户、IAM 身份中心用户或具有运行权限的角色身份登录 organizations:InviteAccountToOrganization。如果您没有此类权限,请使用本主题后面介绍的手动修复程序。 -
在 “检测到着陆区域漂移” 页面上,选择 “重新邀请”,通过重新邀请共享帐户加入组织来修复已删除的共享帐户。自动生成的电子邮件将发送到该账户的电子邮件地址。
-
接受邀请,将共享账户重新带回组织。请执行以下操作之一:
-
登录已删除的共享账户,然后前往 https://console.aws.amazon.com/organizations/home#/invites
-
如果您有权访问再次邀请账户时发送的电子邮件,请登录已删除的账户,然后点击邮件中的链接直接导航到账户邀请。
-
如果被删除的共享账户不在其他组织中,请登录该账户,打开 AWS Organizations 控制台并导航到邀请。
-
-
再次登录管理账户,或者重新加载 AWS Control Tower 控制台(如果该控制台已打开)。你会看到着陆区漂移页面。选择 “重置” 以修复着陆区。
-
等待重置过程完成。
如果修复成功,则共享账户将显示为正常状态和合规状态。
如果补救步骤未恢复账户,请联系 AWS Support。
使用 AWS Control Tower 和控制 AWS Organizations 台恢复共享账户(手动修复)
-
登录 AWS Organizations 控制台,网址为https://console.aws.amazon.com/organizations/
。您必须以 IAM 用户、IAM 身份中心用户或具有 AWSOrganizationsFullAccess托管策略或等效策略的角色身份登录。 -
邀请共享账号返回组织。有关邀请账户加入的要求、先决条件和程序的信息 AWS Organizations,请参阅AWS Organizations 用户指南中的邀请 AWS 账户加入您的组织。
-
登录已删除的共享账户,然后前往 https://console.aws.amazon.com/organizations/home#/invites
接受邀请。 -
再次登录管理账户。
-
以具有
AWSControlTowerServiceRolePolicy托管策略或等效策略并具有运行所有 AWS Control Tower 操作的权限的用户或角色登录 AWS Control Tower 控制台(controltower:*)。 -
您将看到着陆区漂移页面,其中包含重置着陆区的选项。选择 “重置” 以修复着陆区。
-
等待重置过程完成。
如果修复成功,则共享账户将显示为正常状态和合规状态。
如果补救步骤未恢复账户,请联系 AWS Support。
自动更新的外部更改
AWS Control Tower 会自动更新您对账户电子邮件地址所做的更改,但是 Account Factory 不会自动更新这些更改。
更改受监管账户的电子邮件地址
AWS Control Tower 根据控制台体验的要求检索和显示电子邮件地址。因此,共享账户和其他账户的电子邮件地址会在您更改后更新并一致地显示在 AWS Control Tower 中。
注意
在中 AWS Service Catalog,Account Factory 显示了您在创建预配置产品时在控制台中指定的参数。但是,当账户电子邮件地址更改时,原始账户电子邮件地址不会自动更新。这是因为该账户在概念上包含在预配置产品中;它与预配置产品不同。要更新此值,您必须更新预配置的产品,这可能会导致监管状态发生变化。
应用外部 AWS Config 规则
AWS Control Tower 显示部署到在 AWS Control Tower 注册的组织单位中的所有 AWS Config 规则的合规状态,包括在 AWS Control Tower 控制台之外激活的规则。
删除 AWS 控制塔外的 AWS Control Tower 资源
您可以在 AWS Control Tower 中删除 OU 和账户,无需采取任何进一步的操作即可查看更新。当您删除 OU 时,Account Factory 会自动更新,但在您删除帐户时不会自动更新。
删除已注册的 OU(安全 OU 除外)
在内部 AWS Organizations,您可以使用 API 或控制台移除空的组织单位 (OU)。无法删除包含账户的 OU。
当组织单位被删除 AWS Organizations 时,AWS Control Tower 会收到通知。它会更新 Account Factory 中的 OU 列表,以便注册的 OU 列表保持一致。
注意
在中 AWS Service Catalog,Account Factory 已更新,将已删除的 OU 从可用 OU 列表中移除,您可以在其中配置帐户。
从 OU 中删除已注册的账户
当您删除已注册账户时,AWS Control Tower 会收到通知并进行更新,以便信息保持一致。
注意
在中 AWS Service Catalog,代表受监管账户的 Account Factory 预配置产品未更新为删除该账户。相反,预配置产品显示为 TAINTED 且处于错误状态。要清理,请转到 AWS Service Catalog,选择预配置产品,然后选择 Terminate (终止)。
