AWS Control Tower 和 AWS Organizations - AWS Organizations

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Control Tower 和 AWS Organizations

AWS Control Tower 提供了一种简单的方法来设置和管理 AWS 多账户环境,遵循规范的最佳做法。AWS Control Tower 编排扩展了 AWS Organizations 的功能。AWS Control Tower 应用预防性和检测性控制措施(防护机制)来帮助您的组织和账户避免偏离最佳做法(漂移)。

AWS Control Tower 编排扩展了 AWS Organizations 的功能。

有关更多信息,请参阅《AWS Control Tower 用户指南》。

以下信息可帮助您将 AWS Control Tower 与 AWS Organizations 集成。

集成所需的角色

AWSControlTowerExecution 角色必须存在于所有注册的账户中。它允许 AWS Control Tower 管理您的各个账户,并向审核和日志存档账户报告有关这些账户的信息。

要了解有关 AWS Control Tower 使用的角色的更多信息,请参阅 AWS Control Tower 如何与角色一起创建和管理账户为 AWS Control Tower 使用基于身份的策略 (IAM policy)

AWS Control Tower 使用的服务主体

AWS Control Tower 使用 controltower.amazonaws.com 服务主体。

使用 AWS Control Tower 启用信任访问权限

AWS Control Tower 使用可信访问来检测偏移以进行预防性控制,并跟踪导致偏移的账户和 OU 更改。

有关启用信任访问权限所需权限的信息,请参阅允许可信访问所需的权限

您只能使用 Organizations 工具启用信任访问权限。

要从 Organizations 控制台启用可信访问,请选择 AWS Control Tower 旁边的 Enable access

您可以通过运行 Organizations AWS CLI 命令,或者调用某个 AWS SDK 中的 Organizations API 操作来启用信任访问权限。

AWS CLI, AWS API
使用 Organizations CLI/SDK 启用信任服务访问权限

您可以使用以下 AWS CLI 命令或 API 操作启用信任服务访问权限:

  • AWS CLI:enable-aws-service-access

    您可以运行以下命令以启用 AWS Control Tower 作为 Organizations 的信任服务。

    $ aws organizations enable-aws-service-access \ --service-principal controltower.amazonaws.com

    如果成功,此命令不会产生任何输出。

  • AWS API:EnableAWSServiceAccess

使用 AWS Control Tower 禁用信任访问权限

有关禁用信任访问所需权限的信息,请参阅禁止可信访问所需的权限

您只能使用 Organizations 工具禁用信任访问权限。

重要

禁用 AWS Control Tower 的可信访问权限会导致您的 AWS Control Tower 登录区出现偏差。修复偏差的唯一方法是使用 AWS Control Tower 的登录区修复。在 Organizations 中重新启用可信访问权限并不能解决偏差。在《AWS Control Tower 用户指南》中了解有关偏差的更多信息

您可以通过运行 Organizations AWS CLI 命令,或者调用某个 AWS SDK 中的 Organizations API 操作来禁用信任访问权限。

AWS CLI, AWS API
使用 Organizations CLI/SDK 禁用信任服务访问权限

您可以使用以下 AWS CLI 命令或 API 操作禁用信任服务访问:

  • AWS CLI:disable-aws-service-access

    您可以运行以下命令以禁用 AWS Control Tower 作为 Organizations 的信任服务。

    $ aws organizations disable-aws-service-access \ --service-principal controltower.amazonaws.com

    如果成功,此命令不会产生任何输出。

  • AWS API:DisableAWSServiceAccess