本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
如果您管理 AWS Control Tower 外部的資源
AWS Control Tower 會代表您設定帳戶、組織單位和其他資源,但您是這些資源的擁有者。您可以在 AWS Control Tower 內外變更這些資源。主控台是 AWS Organizations 變更 AWS Control Tower 外部資源的最常見位置。本主題說明如何在 AWS Control Tower 之外進行變更時,對 AWS Control Tower 資源進行協調。
在 AWS Control Tower 主控台之外重新命名、刪除和移動資源會導致主控台不同步。許多變更都可以自動對帳。某些變更需要重設您的登陸區域,才能更新 AWS Control Tower 主控台中顯示的資訊。
一般而言,您在 AWS Control Tower 主控台外所做的變更,會AWS建立登陸區域中可解決的偏離狀態。如需這些變更的詳細資訊,請參閱資源的可修復變更。
需要重設登陸區域的任務
-
刪除安全 OU (特殊案例,不可輕率完成。)
-
從安全 OU 移除共用帳戶 (不建議。)
-
更新、連接或分離與安全 OU SCP相關聯的 。
AWS Control Tower 自動更新的變更
-
變更已註冊帳戶的電子郵件地址
-
重新命名已註冊的帳戶
-
建立新的最上層組織單位 (OU)
-
重新命名已註冊的 OU
-
刪除已註冊的 OU (安全 OU 除外,這需要更新。)
-
刪除已註冊的帳戶 (在安全 OU 中不包括共用帳戶。)
注意
AWS Service Catalog 處理變更的方式與 AWS Control Tower 不同。當 協調您的變更時, AWS Service Catalog 可能會在控管狀態中建立變更。如需更新佈建產品的詳細資訊,請參閱 AWS Service Catalog 文件中的更新佈建產品。
參考 AWS Control Tower 外部的資源
當您在 AWS Control Tower 之外建立新的 OUs和 帳戶時,這些帳戶不受 AWS Control Tower 管理,即使它們可能顯示。
建立 OU
在 AWS Control Tower 外部建立的組織單位 (OUs) 稱為未註冊。它們會顯示在組織頁面中,但不受 AWS Control Tower 控制。
建立 帳戶
在 AWS Control Tower 外部建立的帳戶稱為未註冊。屬於向 AWS Control Tower 註冊之 OU 的已註冊和未註冊帳戶會顯示在組織頁面中。您可以使用 主控台來邀請 AWS Organizations 不屬於已註冊 OU 的帳戶。此加入邀請不會在 AWS Control Tower 中註冊帳戶,也不會將 AWS Control Tower 管理擴展到帳戶。若要透過註冊帳戶來擴展管理,請前往 組織頁面或 AWS Control Tower 中的帳戶詳細資訊頁面,然後選擇註冊帳戶。
外部變更 AWS Control Tower 資源名稱
您可以在 AWS Control Tower 主控台之外變更組織單位 (OUs) 和帳戶的名稱,而主控台會自動更新以反映這些變更。
重新命名 OU
在 中 AWS Organizations,您可以使用 或 主控台變更 OU AWS Organizations API的名稱。當您在 AWS Control Tower 外部變更 OU 名稱時,AWSControl Tower 主控台會自動反映名稱變更。不過,如果您使用 佈建帳戶 AWS Service Catalog,您也必須重設登陸區域,以確保 AWS Control Tower 與 保持一致 AWS Organizations。重設工作流程可確保基礎和其他 服務之間的一致性OUs。您可以從登陸區域設定頁面解決這類偏離。請參閱 中的「解決偏離」一節偵測並解決 AWS Control Tower 中的偏離。
AWS Control Tower 會在 AWS Control Tower 儀表板的組織OUs頁面上顯示 的名稱。您可以查看登陸區域重設操作何時成功。
重新命名已註冊的帳戶
每個 AWS 帳戶都有一個顯示名稱,可由 AWS Billing and Cost Management 主控台中的帳戶的根使用者變更。當您重新命名已註冊 AWS Control Tower 的帳戶時,名稱變更會自動反映在 AWS Control Tower 中。如需變更帳戶名稱的詳細資訊,請參閱 AWS 帳單使用者指南中的管理 AWS 帳戶。
刪除安全 OU
這種類型的偏離是一種特殊情況。如果您刪除安全 OU,您會看到錯誤訊息頁面,提示您重設登陸區域。您必須先重設登陸區域,才能在 AWS Control Tower 中採取任何其他動作。
-
您將無法在 AWS Control Tower 主控台中執行任何動作,而且在完成重設 AWS Service Catalog 之前,您將無法在 中建立任何新帳戶。
-
您將無法檢視登陸區域設定頁面,以查看其中的重設按鈕。
在這種情況下,登陸區域重設程序會建立新的安全 OU,並將兩個共用帳戶移至新的安全 OU。 AWSControl Tower 會將 Log Archive 和 Audit 帳戶標記為偏離。相同的程序會解決這些帳戶中的偏離。
如果您確定必須刪除安全 OU,以下是您需要知道的事項:
您必須先確定其中不包含帳戶,才能刪除安全 OU。具體而言,您必須從 OU 移除 Log Archive 和 Audit 帳戶。我們建議您將這些帳戶移至另一個 OU。
注意
在沒有適當考量的情況下,不會執行刪除安全 OU 的動作。如果暫時暫停記錄,且因為某些控制項可能無法強制執行,則動作可能會引發合規問題。
如需有關偏離的一般資訊,請參閱 偵測並解決 AWS Control Tower 中的偏離 中的「解決偏離」。
從安全 OU 移除帳戶
我們不建議您從組織移除任何共用帳戶,或將其移出安全 OU。如果您不小心移除了共用帳戶,您可以遵循本節中的修復步驟來還原帳戶。
-
從 AWS Control Tower 主控台內:若要開始修復程序,請遵循半手動修復步驟。確保您用來存取 AWS Control Tower 主控台的使用者或角色具有執行 的許可
organizations:InviteAccountToOrganization。如果您沒有此類許可,請遵循手動修復步驟,這同時使用 AWS Control Tower 主控台和 AWS Organizations 主控台。 -
從 AWS Organizations 主控台開始:此修復程序是稍微較長、完全手動的程序。遵循手動修復步驟時,您將在 AWS Organizations 主控台和 AWS Control Tower 主控台之間切換。使用 時 AWS Organizations,您將需要具有
AWSOrganizationsFullAccess受管政策或同等政策的使用者或角色。在 AWS Control Tower 主控台中工作時,您將需要具有AWSControlTowerServiceRolePolicy受管政策或同等政策的使用者或角色,以及執行所有 AWS Control Tower 動作的許可 (Controltower:*)。 -
如果修復步驟未還原帳戶,請聯絡 AWS 支援。
透過下列方式移除共用帳戶的結果 AWS Organizations:
-
帳戶不再受到 AWS Control Tower 強制控制與服務控制政策 () 的保護SCPs。結果:在帳戶中由 AWS Control Tower 建立的資源可以修改或刪除。
-
帳戶不再位於 AWS Organizations 管理帳戶下。結果: AWS Organizations 管理帳戶的管理員無法再查看帳戶的支出。
-
帳戶不再保證由 監控 AWS Config。結果: AWS Organizations 管理帳戶的管理員可能無法偵測資源變更。
-
帳戶不再位於組織中。結果:AWSControl Tower 更新和重設將會失敗。
使用 AWS Control Tower 主控台還原共用帳戶 (半手動程序)
-
在 https://console.aws.amazon.com/controltower
登入 AWS Control Tower 主控台。您必須以IAM使用者、IAM身分中心的使用者或具有執行 許可的角色身分登入 organizations:InviteAccountToOrganization。如果您沒有此類許可,請使用本主題稍後所述的手動修復程序。 -
在登陸區域偵測到漂移頁面上,選擇重新邀請,透過將共用帳戶重新邀請至組織來修復共用帳戶移除。自動產生的電子郵件會傳送至帳戶的電子郵件地址。
-
接受邀請,將共用帳戶帶回組織。執行以下任意一項:
-
登入已移除的共用帳戶,然後前往 https://console.aws.amazon.com/organizations/home#/invites
-
如果您有權存取重新邀請帳戶時傳送的電子郵件訊息,請登入已移除的帳戶,然後按一下訊息中的連結以直接導覽至帳戶邀請。
-
如果移除的共用帳戶不在另一個組織中,請登入帳戶,開啟 AWS Organizations 主控台並導覽至邀請。
-
-
再次登入 管理帳戶,如果 AWS Control Tower 主控台已開啟,請重新載入。您將看到登陸區域偏離頁面。選擇重設以修復登陸區域。
-
等待重設程序完成。
如果修復成功,共用帳戶會顯示為正常狀態和合規。
如果修復步驟未還原帳戶,請聯絡 AWS 支援。
使用 AWS Control Tower 和 AWS Organizations 主控台還原共用帳戶 (手動修復)
-
在 登入 AWS Organizations 主控台https://console.aws.amazon.com/organizations/
。您必須以IAM使用者、IAM身分中心中的使用者,或具有 AWSOrganizationsFullAccess受管政策或同等身分的角色登入。 -
邀請共用帳戶回到組織。如需邀請 帳戶之需求、先決條件和程序的相關資訊 AWS Organizations,請參閱AWS Organizations 《 使用者指南》中的邀請 AWS 帳戶到您的組織。
-
登入已移除的共用帳戶,然後前往 https://console.aws.amazon.com/organizations/home#/invites
接受邀請。 -
再次登入管理帳戶。
-
以使用者或角色身分登入 AWS Control Tower 主控台,其中包含
AWSControlTowerServiceRolePolicy受管政策或同等政策,以及執行所有 AWS Control Tower 動作的許可 (Controltower:*)。 -
您將看到登陸區域偏離頁面,其中包含重設登陸區域的選項。選擇重設以修復登陸區域。
-
等待重設程序完成。
如果修復成功,共用帳戶會顯示為正常狀態和合規。
如果修復步驟未還原帳戶,請聯絡 AWS 支援。
自動更新的外部變更
AWS Control Tower 會自動更新您對帳戶電子郵件地址所做的變更,但 Account Factory 不會自動更新。
變更受控管帳戶的電子郵件地址
AWS Control Tower 會擷取並顯示主控台體驗所需的電子郵件地址。因此,共用和其他帳戶電子郵件地址會在您變更之後,持續在 AWS Control Tower 中顯示。
注意
在 中 AWS Service Catalog,帳戶工廠會顯示您在建立佈建產品時在主控台中指定的參數。不過,當帳戶電子郵件地址變更時,不會自動更新原始的帳戶電子郵件地址。這是因為帳戶在概念上包含在佈建的產品中;它與佈建的產品不同。若要更新此數值,您必須更新佈建的產品,而這可能導致控管狀態發生變更。
套用外部 AWS Config 規則
AWS Control Tower 會顯示部署到向 AWS Control Tower 註冊之組織單位的所有 AWS Config 規則的合規狀態,包括 Control AWS Tower 主控台外部啟動的規則。
在 AWS Control Tower 外部刪除 AWS Control Tower 資源
您可以刪除 AWS Control Tower 中的 OUs和 帳戶,而且您不需要採取任何進一步的動作來查看更新。刪除 OU 時,帳戶工廠會自動更新,但刪除帳戶時不會更新。
刪除已註冊的 OU (安全 OU 除外)
在其中 AWS Organizations,您可以使用 API或 主控台來移除空的組織單位 (OUs)。無法刪除OUs包含 帳戶的 。
AWS 刪除 OU AWS Organizations 時,Control Tower 會收到來自 的通知。它會更新 Account Factory 中的 OU 清單,以便已註冊的清單OUs保持一致。
注意
在 中 AWS Service Catalog,Account Factory 會更新,從OUs您可以佈建帳戶的可用清單中移除已刪除的 OU。
從 OU 刪除註冊的帳戶
當您刪除已註冊帳戶時,AWSControl Tower 會收到通知並進行更新,以便資訊保持一致。
注意
在 中 AWS Service Catalog,代表受管帳戶的帳戶工廠佈建產品不會更新為刪除帳戶。相反地,佈建的產品會顯示為 TAINTED 和錯誤狀態。若要清理,請移至 AWS Service Catalog,選擇已佈建的產品,然後選擇 Terminate (終止)。
