本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建和修改 Cont AWS rol Tower 资源的指南
在您在 Cont AWS rol Tower 中创建和修改资源时,我们建议您采用以下最佳做法。在更新服务时,本指南可能会发生变化。请记住,责任共担模式
一般指南
-
请勿修改或删除 Cont AWS rol Tower 创建的任何资源,包括管理账户、共享账户和成员账户中的资源。如果您修改这些资源,则可能需要更新 landing zone 或重新注册 OU,而修改可能会导致合规报告不准确。
特别是:
-
保持活跃 AWS Config 录音机。如果您删除 Config 记录器,则侦探控件将无法检测和报告偏差。由于信息不足,不合规的资源可能会被报告为 “合规”。
-
请勿修改或删除 AWS Identity and Access Management (IAM) 在安全组织单位 (OU) 的共享账户中创建的角色。修改这些角色可能会要求您更新登录区。
-
请勿从您的成员账户中删除该
AWSControlTowerExecution角色,即使在已取消注册的账户中也是如此。如果这样做,您将无法在 Contro AWS l Tower 中注册这些账户,也无法注册其直系父账户OUs。
-
-
不要禁止使用任何 AWS 区域 通过任一SCPs或 AWS Security Token Service (AWS STS)。 这样做会导致 Cont AWS rol Tower 进入未定义状态。如果您不允许使用以下区域 AWS STS,则您在这些区域的功能将失败,因为这些区域将无法进行身份验证。取而代之的是,依靠 Cont AWS rol Tower 区域拒绝功能,如控件中所示 “拒绝访问” AWS 根据要求的 AWS 区域,它在 landing zone 级别起作用,或者应用于 OU 的控制区域拒绝控制,它在 OU 级别起作用以限制对区域的访问。
-
这些区域有: AWS Organizations
FullAWSAccessSCP必须适用,不应与其他合并SCPs。对此的更改不会SCP被报告为偏差;但是,如果拒绝访问某些资源,某些更改可能会以不可预测的方式影响 Cont AWS rol Tower 的功能。例如,如果SCP被分离或修改,则账户可能会失去对账户的访问权限 AWS Config 记录器或在 CloudTrail 日志中造成空白。 -
请勿使用 AWS Organizations
DisableAWSServiceAccessAPI关闭 Cont AWS rol Tower 服务对你设置了着陆区的组织的访问权限。如果您这样做,则某些 Cont AWS rol Tower 漂移检测功能在没有消息支持的情况下可能无法正常运行 AWS Organizations。 这些漂移检测功能有助于确保 Cont AWS rol Tower 能够准确报告组织中组织单位、帐户和控制的合规状态。有关更多信息,请参阅 API_DisableAWSServiceAccess 在 AWS Organizations API参考。 -
通常,Cont AWS rol Tower 一次只能执行一个操作,必须先完成该操作,然后才能开始另一个操作。例如,如果您在启用控件的过程已在运行时尝试配置帐户,则账户配置将失败。
例外:
-
AWSControl Tower 允许并发操作来部署可选控件。有关更多信息,请参阅并发部署以了解可选控件。
-
AWSControl Tower 允许使用 Account Factory 对账户进行多达十次并发创建、更新或注册操作。
-
注意
有关 Cont AWS rol Tower 创建的资源的更多信息,请参阅共享账户有哪些?。
有关账户的提示和 OUs
-
我们建议您将每个注册的 OU 最多保留 300 个账户,这样您就可以在需要更新账户时使用 “重新注册 OU” 功能更新这些账户,例如在配置新的监管区域时。
-
为了缩短注册 OU 所需的时间,我们建议您将每个 OU 的账户数保持在 150 左右,尽管限制为每个 OU 300 个账户。一般而言,注册 OU 所需的时间会根据您的 OU 运营所在区域的数量乘以 OU 中的账户数量而增加。
-
据估计,拥有 150 个账户的 OU 大约需要 2 小时来注册和启用控制,大约需要 1 小时才能重新注册。此外,具有许多控件的 OU 的注册时间比控件较少的 OU 需要更长的时间。
-
允许更长时间注册 OU 的一个问题是,此过程会阻止其他操作。有些客户愿意允许更长的时间注册或重新注册 OU,因为他们更愿意在每个 OU 中允许更多帐户。
