本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立和修改 AWS Control Tower 資源的指引
我們建議您在 AWS Control Tower 中建立和修改資源時採用下列最佳作法。這個指導可能會隨服務更新而變更。請記住,共同的責任模型
一般指導
-
請勿修改或刪除 AWS Control Tower 所建立的任何資源,包括管理帳戶、共用帳戶及成員帳戶中的資源。如果您修改這些資源,您可能需要更新 landing zone 域或重新註冊 OU,而修改可能會導致不正確的合規性報告。
尤其是:
-
保持活動的 AWS Config 記錄器。如果您刪除 Config 記錄器,偵探控制項將無法偵測並報告漂移。由於資訊不足,可能會將不相容的資源報告為「符合標準」。
-
請勿修改或刪除在安全性組織單位 AWS Identity and Access Management (OUIAM) 中共用帳戶中建立的 () 角色。修改這些角色可能需要更新您的登陸區域。
-
請勿從您的成員帳戶中刪除
AWSControlTowerExecution角色,即使是在未註冊的帳戶中也是如此。如果您這樣做,您將無法在 AWS Control Tower 註冊這些帳戶,或註冊其直屬家長OUs。
-
-
請勿透 AWS 區域 過SCPs或 AWS Security Token Service (AWS STS) 禁止使用任何內容。這樣做會導致 AWS Control Tower 進入未定義的狀態。如果您不允許使用 [區域] AWS STS,您在這些區域中的功能將會失敗,因為在這些區域中無法使用驗證。相反地,請依賴 AWS Control Tower 區域拒絕功能,如控制項所示:AWS 根據要求 AWS 區域的拒絕存取 (在 landing zone 層級運作),或者控制區域拒絕控制套用至 OU (在 OU 層級運作,以限制對區域的存取)。
-
AWS Organizations
FullAWSAccessSCP必須套用,且不應與其他項目合併SCPs。對此進行的變更不會報告為漂移;但SCP是,如果拒絕存取某些資源,某些變更可能會以無法預測的方式影響 AWS Control Tower 的功能。例如,如果SCP已分離或修改,帳戶可能會失去對記錄器的存取權,或在 CloudTrail 記 AWS Config 錄中產生間隙。 -
請勿使用 AWS Organizations
DisableAWSServiceAccessAPI來關閉 AWS Control Tower 服務存取權限來設定 landing zone 域的組織。如果您這樣做,某些 AWS Control Tower 漂移偵測功能可能無法正常運作,而且沒有來自的訊息支援 AWS Organizations。這些漂移偵測功能有助於確保 AWS Control Tower 可以準確地報告組織單位、帳戶和控制項的合規狀態。如需詳細資訊,請參閱〈AWS Organizations API參考〉API_DisableAWSServiceAccess中的〈〉。 -
通常情況下,AWSControl Tower 一次執行一個動作,必須在另一個動作開始之前完成。例如,如果您嘗試在啟用控制項的程序已經在作業中佈建帳戶,則帳號佈建將會失敗。
例外狀況:
-
AWSControl Tower 允許同時操作部署可選擇的控制項。如需詳細資訊,請參閱選用控制項的並行部署。
-
AWSControl Tower 允許使用 Account Factory 同時建立、更新或註冊帳戶動作,最多可同時建立、更新或註冊動作。
-
注意
如需 AWS Control Tower 建立之資源的詳細資訊,請參閱什麼是共享帳戶?。
有關帳戶和 OUs
-
我們建議您將每個已註冊的 OU 保留為最多 300 個帳戶,以便在需要帳戶更新時 (例如當您設定新的區域進行管理時),使用重新註冊 OU 功能更新這些帳戶。
-
為了減少註冊 OU 時所需的時間,我們建議您將每個 OU 的帳戶數目保留在 150 個左右,即使每個 OU 的帳戶限制為 300 個。一般而言,註冊 OU 所需的時間會根據 OU 作業的區域數目而增加,乘以 OU 中的帳戶數目。
-
根據估計,擁有 150 個帳戶的 OU 需要大約 2 小時才能註冊和啟用控制項,而重新註冊則需要大約 1 小時。此外,具有許多控制項的 OU 註冊所花費的時間比具有少數控制項的 OU 更長的時間。
-
允許更長的時間範圍註冊 OU 的一個問題是,這個程序會封鎖其他動作。有些客戶願意允許更長的時間註冊或重新註冊 OU,因為他們希望在每個 OU 中允許更多帳戶。
