將治理擴展到現有的組織 - AWS Control Tower
影片:在現有的 中啟用登陸區域 AWS OrganizationsIAM Identity Center 和現有組織的考量事項存取其他 AWS 服務

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將治理擴展到現有的組織

您可以透過設定登陸區域 (LZ) 將 AWS Control Tower 治理新增至現有組織,如 入門中的 AWS Control Tower 使用者指南步驟 2 中所述。 https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html#step-two

以下是在現有組織中設定 AWS Control Tower 登陸區域時預期會發生的情況。

  • 每個 AWS Organizations 組織可以有一個登陸區域。

  • AWS Control Tower 會使用現有 AWS Organizations 組織的管理帳戶作為其管理帳戶。不需要新的管理帳戶。

  • AWS Control Tower 在已註冊的 OU 中設定兩個新帳戶:稽核帳戶和記錄帳戶。

  • 貴組織的 Service Limits 必須允許建立這兩個額外的帳戶。

  • 在您啟動登陸區域或註冊 OU 之後,AWSControl Tower 控制項會自動套用至該 OU 中的所有註冊帳戶。

  • 您可以將其他現有 AWS 帳戶註冊到受 AWS Control Tower 管理的 OU,以便控制適用於這些帳戶。

  • 您可以在 AWS Control Tower OUs中新增更多 ,也可以註冊現有的 OUs。

若要檢查註冊和註冊的其他先決條件,請參閱 AWS Control Tower 入門

以下是如何在未設定 AWS Control Tower 登陸區域的OUsAWS組織中,將 AWS Control Tower 控制套用至 的更多詳細資訊:

  • 在 AWS Control Tower Account Factory 外部建立的新帳戶不受已註冊 OU 控制項的約束。

  • 在 中建立OUs但未向 AWS Control Tower 註冊的新帳戶不受控制項約束,除非您特別將這些帳戶註冊到 AWS Control Tower。請參閱註冊現有的 AWS 帳戶以取得註冊帳戶的詳細資訊。

  • 除非您另外註冊 OU OUs 或註冊帳戶,否則其他現有組織、現有帳戶,以及您在 AWS Control Tower 外部建立的任何新帳戶或任何帳戶,不受 AWS Control Tower 控制約束。

如需如何將 AWS Control Tower 套用至現有 OUs和 帳戶的詳細資訊,請參閱 向 AWS Control Tower 註冊現有的組織單位

如需在現有組織中設定 AWS Control Tower 登陸區域的程序概觀,請參閱下一節中的影片。

注意

在設定期間,AWSControl Tower 會執行預先檢查,以避免常見問題。不過,如果您目前正在使用 AWS 登陸區域解決方案 AWS Organizations,請先向您的 AWS 解決方案架構師確認,再嘗試在組織中啟用 AWS Control Tower,以判斷 AWS Control Tower 是否可能干擾您目前的登陸區域部署。此外,如果帳戶不符合先決條件如需將帳戶從一個登陸區域移至另一個登陸區域的資訊,請參閱 。

影片:在現有的 中啟用登陸區域 AWS Organizations

此影片 (7:48) 說明如何在現有 AWS Organizations 結構中設定和啟用 AWS Control Tower 登陸區域。若要獲得更佳的觀賞效果,請選取影片右下角的圖示,將影片放大至全螢幕。並提供字幕。

IAM Identity Center 和現有組織的考量事項

  • If AWS IAM Identity Center (IAM Identity Center) 已設定,AWSControl Tower 主區域必須與 IAM Identity Center 區域相同。

  • AWS Control Tower 不會刪除現有的組態。

  • 如果 IAM Identity Center 已啟用,而且如果您使用的是 IAM Identity Center Directory,AWSControl Tower 會新增許可集、群組等資源,並照常繼續。

  • 如果設定了另一個目錄 (外部、AD、受管 AD),AWSControl Tower 不會變更現有的組態。如需詳細資訊,請參閱AWS IAM Identity Center (IAM Identity Center) 客戶的考量事項

存取其他 AWS 服務

將組織帶入 AWS Control Tower 管理之後,您仍然可以透過 AWS Organizations主控台和 存取任何 AWS Organizations 可透過 取得 AWS 的服務APIs。如需詳細資訊,請參閱相關 AWS 服務