创建和修改 Cont AWS rol Tower 资源的指南 - AWS Control Tower

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建和修改 Cont AWS rol Tower 资源的指南

我们建议您在在 Cont AWS rol Tower 中创建和修改资源时采用以下最佳做法。在更新服务时,本指南可能会发生变化。请记住,责任共担模式适用于您的 Cont AWS rol Tower 环境。

一般指南
  • 请勿修改或删除 Cont AWS rol Tower 创建的任何资源,包括管理账户、共享账户和成员账户中的资源。如果您修改这些资源,则可能需要更新 landing zone 或重新注册 OU,而修改可能会导致合规报告不准确。

    特别是:

    • 保持活跃的 AWS Config 录音机。如果您删除 Config 记录器,则侦探控件将无法检测和报告偏差。由于信息不足,不合规的资源可能会被报告为 “合规”。

    • 请勿修改或删除在安全组织单位 AWS Identity and Access Management (OUIAM) 的共享帐户中创建的 () 角色。修改这些角色可能会要求您更新登录区。

    • 请勿从您的成员账户中删除该AWSControlTowerExecution角色,即使在已取消注册的账户中也是如此。如果这样做,您将无法在 Contro AWS l Tower 中注册这些账户,也无法注册其直系父账户OUs。

  • 不要禁止 AWS 区域 通过SCPs或 AWS Security Token Service (AWS STS) 使用任何一个。这样做会导致 Cont AWS rol Tower 进入未定义状态。如果您不允许使用区域 AWS STS,则您在这些区域中的功能将失败,因为这些区域将无法进行身份验证。取而代之的是,依靠 Cont AWS rol Tower Regi on 拒绝功能(如控件所示) AWS 区域、“ AWS 根据请求拒绝访问”(适用于着陆区域级别)或应用于 OU 的控制区域拒绝控制(在 OU 级别起作用以限制对区域的访问)。

  • AWS Organizations FullAWSAccessSCP必须应用,不应与其他合并SCPs。对此的更改不会SCP被报告为偏差;但是,如果拒绝访问某些资源,某些更改可能会以不可预测的方式影响 Cont AWS rol Tower 的功能。例如,如果SCP被分离或修改,则帐户可能会失去对 AWS Config 录制器的访问权限或在 CloudTrail 日志记录中造成空白。

  • 请勿使用 AWS Organizations DisableAWSServiceAccessAPI来关闭对设置着陆区的组织的 Cont AWS rol Tower 服务访问权限。如果这样做,如果没有消息支持,某些 Cont AWS rol Tower 漂移检测功能可能无法正常运行 AWS Organizations。这些漂移检测功能有助于确保 Cont AWS rol Tower 能够准确报告组织中组织单位、帐户和控制的合规状态。有关更多信息,请参阅 API_DisableAWSServiceAccess 在 AWS Organizations API参考资料中

  • 通常,Cont AWS rol Tower 一次只能执行一个操作,必须先完成该操作,然后才能开始另一个操作。例如,如果您在启用控件的过程已在运行时尝试配置帐户,则账户配置将失败。

    例外:

    • AWSControl Tower 允许并发操作来部署可选控件。有关更多信息,请参阅并发部署以了解可选控件

    • AWSControl Tower 允许使用 Account Factory 对账户进行多达十次并发创建、更新或注册操作。

注意

有关 Cont AWS rol Tower 创建的资源的更多信息,请参阅共享账户有哪些?

有关账户的提示和 OUs
  • 我们建议您将每个注册的 OU 最多保留 1000 个账户,这样您就可以在需要更新账户时使用 “重新注册 OU” 功能更新这些账户,例如在配置新的监管区域时。

  • 为了缩短注册 OU 所需的时间,我们建议您将每个 OU 的账户数保持在 680 个左右,尽管限制为每个 OU 1000 个账户。一般而言,注册 OU 所需的时间会根据您的 OU 运营所在区域的数量乘以 OU 中的账户数量而增加。

  • 据估计,拥有 680 个账户的 OU 可能需要长达 2 小时才能注册和启用控制,最多需要 1 小时才能重新注册。此外,具有许多控件的 OU 的注册时间比控件较少的 OU 需要更长的时间。

  • 允许更长时间注册 OU 的一个问题是,此过程会阻止其他操作。有些客户愿意允许更长的时间注册或重新注册 OU,因为他们更愿意在每个 OU 中允许更多帐户。