AWS Control Tower 在 AWS 着陆区组织中部署 - AWS 规范性指导
在现有组织 AWS Control Tower 中注册现有 AWS 账户将现有组织的 AWS 账户注册到新组织 AWS Control Tower 中

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Control Tower 在 AWS 着陆区组织中部署

此场景详细说明了在当前正在运行 AWS 着陆区解决方案的 AWS Organizations 组织 AWS Control Tower 中进行部署所涉及的步骤。

  1. 确保您可以在不超过当前服务配额的情况下创建两个新账户。如有必要,可以申请增加服务配额。除非您使用的是用于着陆区的着陆区的现有账户,否则新账户将作为 AWS Control Tower 部署的一部分进行 AWS 部署。

  2. 如果您当前正在使用 AWS IAM Identity Center,请在配置IAM身份中心的同一 AWS 区域进行部署 AWS Control Tower 。

  3. 在 AWS Organizations 控制台上,如果 AWS Config 和 AWS CloudTrail 服务已激活,请选择禁用可信访问。有关更多信息,请参阅 AWS 文档

  4. 部署 AWS Control Tower。有关更多信息,请参阅 AWS 文档

以下是在现有组织中设置 landing AWS Control Tower zone 时会发生的情况。

  • 每个 AWS Organizations 组织中可以有一个着陆区。

  • AWS Control Tower 使用您现有 AWS Organizations 组织的管理账户作为其管理账户。无需新的管理账户。

  • AWS Control Tower 在已注册的安全 OU 中设置两个新帐户:一个审核帐户和一个日志存档帐户,除非您在设置期间使用现有帐户。如果您使用的是现有帐户,则 AWS Control Tower 会将审计和日志存档帐户移到您在 AWS Control Tower 部署期间创建的 OU 下。

  • 贵组织的服务配额必须足以创建这两个额外账户。

  • 启动后, AWS Control Tower 护栏会自动应用于该 OU 中的账户。

  • 您可以将其他现有 AWS 账户注册到受其管理的 OU 中 AWS Control Tower,这样这些账户就会受到保护。

如果您想在设置任何现有 AWS 账户OUs AWS Control Tower 后注册或注册现有 AWS 账户,请参阅指南的在现有组织 AWS Control Tower 中注册现有账户部分。

在现有组织 AWS Control Tower 中注册现有 AWS 账户

当您将现有个人 AWS 账户注册到已经受其 AWS Control Tower 管理的组织单位 (OU) 时,您可以将监管范围扩大到该账户 AWS Control Tower。符合条件的账户存在于未注册OUs的账户中,这些账户与 AWS Control Tower OU 属于同一个 AWS Organizations 组织。

您可以 AWS Control Tower 从 AWS Control Tower 控制台向注册 OU。当您注册 OU 时, AWS Control Tower 会将该 OU 下的所有账户注册到 AWS Control Tower。

我们建议注册 OU,而不是注册个人账户。这种方法的好处是 OU ID 不会改变。如果您有任何使用 OU ID 的政策或规则,则无需进行任何更改。

在注册 AWS 账户之前 AWS Control Tower,请从名为的 AWS CloudFormation 堆栈集中删除堆栈实例AWS-Landing-Zone-Baseline-EnableConfig。在您要注册的每个账户中,在部署的每个 AWS 区域,您 AWS Control Tower 都必须删除AWS-Landing-Zone-Baseline-EnableConfig堆栈实例。由于删除完整的堆栈集需要时间,因此我们建议仅删除您正在注册的账户的堆栈实例。理想情况下,删除特定账户的堆栈实例应导致删除 AWS Config 录制器和传送渠道。您可以通过为该帐户运行以下命令来验证删除。


      aws configservice describe-configuration-recorders --region <region_name>     
      aws configservice describe-delivery-channels --region <region_name>

使用 AWS Control Tower 控制台中的 AWS Control Tower 注册 OU 功能

在注册拥有现有 AWS 账户的整个 OU 之前,请务必执行以下操作:

  • 如前所述,从该 OU 下所有账户的所有区域中删除 AWS Config 录音器和传送渠道。

有关更多信息,请参阅向注册现有组织单位 AWS Control Tower

注册账户后 AWS Control Tower,您将在 Service Catalog 中看到与您注册的账户对应的另一个预配置产品。预配置产品的名称将以 En ro ll-为前缀。这意味着您现在在 Service Catalog 中为一个账户提供了两个预配置产品:

  • 一款来自 AWS 着陆区账户自动售货机的预配置产品

  • 从注册到一个预配置的产品 AWS Control Tower

您可以选择从 AWS 着陆区终止账户的预配置产品,但我们建议您等到完成过渡后再进行配置。

当您终止在 Landing Zone 环境中 AWS 出售的账户的预配置产品时,该Terminate操作将开始删除您可能想要保留的关联基准 AWS CloudFormation 堆栈集。请务必评估 manifest.yaml 中的基准堆栈集,并了解删除堆栈集的影响。如果您要保留堆栈集中的任何资源,请避免删除预配置的产品。部分删除会使已配置的产品在 Service Catalog 控制台中处于 Tainted 状态。

或者,您可以从 AWS 着陆区保留账户自动售货机创建的预配置产品。

将现有组织的 AWS 账户注册到新组织 AWS Control Tower 中

您可能需要在新 AWS Organizations 组织 AWS Control Tower 中进行部署。要在新组织 AWS Control Tower 中进行设置,请完成以下步骤:

  1. 创建一个新AWS 账户

  2. 在新创建的账户 AWS Control Tower 中部署。

  3. 要将 AWS 账户从现有组织迁移到您部署的新组织 AWS Control Tower,请参阅说明。请务必查看并了解所涵盖的所有账户访问权限、账单、许可和税务注意事项。

  4. 要了解在组织之间迁移 AWS 账户的流程,请参阅AWS Organizations 使用整合账单向所有功能之间迁移账户博客文章。

  5. 开始在中注册 AWS 账户。 AWS Control Tower要进行注册,请参阅 “在现有组织 AWS Control Tower 中注册现有 AWS 帐户” 部分。