本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Organizations 指导
AWS Control Tower 与之密切相关 AWS Organizations。以下是有关它们如何最好地协同工作以保护您的 AWS 环境的一些具体指导。
您可以在 AWS Organizations 文档中找到有关保护 AWS Control Tower 管理账户和成员账户安全的最佳实践指南。
-
请勿更新已在 AWS Control Tower 注册的 OU 上附加的现有服务控制策略 (SCPs)。这样做可能会导致控件进入未知状态,这将要求您重置登录区或在 AWS Control Tower 中重新注册您的 OU。相反,您可以使用创建新内容 SCPs 并将其附加 AWS Organizations 到 AWS Control Tower 创建的 SCPs , OUs 而不是编辑 AWS Control Tower 创建的。
-
将已注册的个人账户从注册 OU 之外移入 AWS Control Tower 会导致偏移,必须加以解决。请参阅 治理偏差的类型。
-
如果您使用 AWS Organizations 在向 AWS Control Tower 注册的组织内创建、邀请或转移账户,则这些账户不会由 AWS Control Tower 注册,也不会记录这些更改。如果您需要通过 SSO 访问这些账户,请参阅成员账户访问权限
。 -
如果您使用将组织单位移 AWS Organizations 至由 AWS Control Tower 创建的组织,则外部 OU 不会由 AWS Control Tower 注册。
-
AWS Control Tower 处理权限筛选的方式与 AWS Organizations 以前不同。如果您的账户配置了 AWS Control Tower 账户工厂,则最终用户可以在 AWS Control Tower 控制台 OUs 中看到所有账户的姓名和父账户,即使他们无权直接从 AWS Organizations 中检索这些姓名和父项。
-
AWS Control Tower 不支持对组织使用混合权限,例如查看 OU 的父项但不查看 OU 名称的权限。因此,AWS Control Tower 管理员需要拥有完全权限。
-
必须应用 AWS Organizations
FullAWSAccessSCP,不应与其他 SCPs策略合并。对此 SCP 的更改不会被报告为偏移;但是,如果拒绝对某些资源的访问,某些更改可能会以不可预测的方式影响 AWS Control Tower 功能。例如,如果 SCP 被分离或修改,则帐户可能会失去对 AWS Config 录制器的访问权限或在 CloudTrail 日志中造成空白。 -
请勿使用 AWS Organizations
DisableAWSServiceAccessAPI 关闭您设置着陆区的组织的 AWS Control Tower 服务访问权限。如果您这样做,某些 AWS Control Tower 偏移检测功能可能无法在没有 AWS Organizations提供的消息支持的情况下正常运行。这些偏移检测功能有助于确保 AWS Control Tower 能够准确报告组织中组织单位、账户和控件的合规状态。有关更多信息,请参阅 API_DisableAWSServiceAccess 在 AWS Organizations API 参考中。
