关于创建和修改 AWS Control Tower 资源的指南
我们建议您在 AWS Control Tower 中创建和修改资源时采用以下最佳实践。在更新服务时,本指南可能会发生变化。请记住,责任共担模式
一般指南
-
请勿修改或删除 AWS Control Tower 创建的任何资源,包括管理账户、共享账户和成员账户中的资源。如果您修改这些资源,则可能需要更新登录区或重新注册 OU,而修改可能会导致合规性报告不准确。
具体而言:
-
保持活跃的 AWS Config 记录器。如果您删除 Config 记录器,则检测性控件将无法检测和报告偏移。由于信息不足,不合规资源可能会被报告为合规。
-
请勿修改或删除在安全组织单位(OU)的共享账户中创建的 AWS Identity and Access Management(IAM)角色。修改这些角色可能会要求您更新登录区。
-
请勿从您的成员账户中删除
AWSControlTowerExecution角色,即使是未注册的账户。如果这样做,您将无法在 AWS Control Tower 中注册这些账户,也无法注册其直系父 OU。
-
-
不要禁止通过 SCP 或 AWS Security Token Service(AWS STS)使用任何 AWS 区域。这样做会导致 AWS Control Tower 进入未定义状态。如果您不允许通过 AWS STS 使用区域,您的功能将在这些区域中失效,因为在这些区域无法进行身份验证。相反,依靠 AWS Control Tower 区域拒绝功能,如以下控件所示:“根据请求的 AWS 区域拒绝对 AWS 的访问”(在登录区级别运作)或“已应用于 OU 的区域拒绝控件”(在 OU 级别运作以限制对区域的访问)。
-
AWS Organizations
FullAWSAccessSCP 必须进行应用,且不应与其他 SCP 合并。对此 SCP 的更改不会被报告为偏移;但是,如果拒绝对某些资源的访问,某些更改可能会以不可预测的方式影响 AWS Control Tower 功能。例如,如果 SCP 被分离或修改,则账户可能会失去对 AWS Config 记录器的访问权限,或者导致 CloudTrail 日志记录出现缺失。 -
请勿使用 AWS Organizations
DisableAWSServiceAccessAPI 关闭 AWS Control Tower 服务对您已在其中设置登录区的组织的访问权限。如果您这样做,某些 AWS Control Tower 偏移检测功能可能无法在没有 AWS Organizations 提供的消息支持的情况下正常运行。这些偏移检测功能有助于确保 AWS Control Tower 能够准确报告组织中组织单位、账户和控件的合规状态。有关更多信息,请参阅 AWS Organizations API 参考中的 API_DisableAWSServiceAccess。 -
通常,AWS Control Tower 一次执行一项操作,必须先完成该操作,然后另一项操作才会开始。例如,如果您在启用控件的过程中尝试预置账户,则账户预置将失败。
例外:
-
AWS Control Tower 允许并发操作部署可选控件。有关更多信息,请参阅可选控件的并发部署。
-
AWS Control Tower 允许使用 Account Factory 对账户执行多达十个并发创建、更新或注册操作。
-
注意
有关 AWS Control Tower 所创建资源的更多信息,请参阅 什么是共享账户?。
有关账户和 OU 的提示
-
建议将每个注册 OU 的账户数限制在 1000 个以内,以便在需要更新账户(如配置新的监管区域)时,使用重新注册 OU 功能更新这些账户。
-
为缩短注册 OU 所需的时间,我们建议将每个 OU 的账户数控制在 680 个左右,尽管每个 OU 的上限是 1000 个账户。一般来说,注册一个 OU 所需的时间会根据 OU 运行所在区域的数量乘以 OU 中账户的数量而增加。
-
据估计,一个拥有 680 个账户的 OU 可能需要长达 2 小时才能注册和启用控件,最多需要 1 小时才能重新注册。此外,具有多个控件的 OU 比控件较少的 OU 需要更长的注册时间。
-
允许在更长的时间内注册 OU 的一个问题是,此过程会阻止其他操作。有些客户愿意允许更长的时间来注册或重新注册 OU,因为他们更希望在每个 OU 中允许更多的账户。
