AWS Control Tower 在 AWS 登陸區域組織中部署 - AWS 規範指引
在現有組織中使用 AWS Control Tower 註冊現有 AWS 帳戶在 AWS Control Tower 新組織中將 AWS 帳戶從現有組織註冊到

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Control Tower 在 AWS 登陸區域組織中部署

此案例詳細說明在目前正在執行 AWS 登陸區域解決方案的 AWS Control Tower 組織中部署 AWS Organizations 時涉及的步驟。

  1. 請確定您可以建立兩個新帳戶,而不會超過目前的服務配額。如有必要,請求服務配額會增加 。除非您使用來自您用於登陸區域的現有帳戶,否則新帳戶將部署為部署的一部分 AWS Control Tower AWS 。

  2. 如果您目前正在使用 AWS IAM Identity Center, AWS Control Tower 請在已設定 IAM Identity Center 的相同 AWS 區域中部署 。

  3. 在 AWS Organizations 主控台上,選擇停用啟用 和 服務的受信任存取。 AWS Config AWS CloudTrail 如需詳細資訊,請參閱 AWS 文件

  4. 部署 AWS Control Tower。如需詳細資訊,請參閱 AWS 文件

以下是在現有組織中設定 AWS Control Tower 登陸區域時預期會發生的情況。

  • 您可以在每個 AWS Organizations 組織中有一個登陸區域。

  • AWS Control Tower 會使用現有 AWS Organizations 組織的管理帳戶作為其管理帳戶。不需要新的管理帳戶。

  • AWS Control Tower 在已註冊的安全 OU 中設定兩個新帳戶:稽核帳戶和日誌封存帳戶,除非您在設定期間使用現有帳戶。如果您使用現有帳戶, AWS Control Tower 會在部署期間建立的 OU 下移動稽核和日誌封存帳戶 AWS Control Tower 。

  • 您組織的服務配額必須足以建立這兩個額外帳戶。

  • 啟動後, AWS Control Tower 護欄會自動套用至該 OU 中的帳戶。

  • 您可以將其他現有 AWS 帳戶註冊到由 管理的 OU AWS Control Tower,以便保護欄適用於這些帳戶。

如果您想要在設定任何現有 AWS 帳戶 AWS Control Tower 之後註冊 或 OUs ,請參閱指南的現有組織區段中的使用 AWS Control Tower 註冊現有 AWS 帳戶

在現有組織中使用 AWS Control Tower 註冊現有 AWS 帳戶

當您將 註冊到已受 管理的組織單位 (OU) 時,您可以將 AWS Control Tower 治理擴展到個別的現有 AWS 帳戶 AWS Control Tower。符合條件的帳戶存在於與 AWS Control Tower OU 屬於相同 AWS Organizations 組織的未註冊 OUs 中。

您可以從 AWS Control Tower 主控台 AWS Control Tower 向 註冊 OU。當您註冊 OU 時, AWS Control Tower 會將 OU 下的所有帳戶註冊到 AWS Control Tower。

建議您註冊 OU,而不是註冊個別帳戶。此方法的好處是 OU ID 不會變更。如果您有任何使用 OU ID 的政策或規則,則不需要進行任何變更。

向 註冊 AWS 帳戶之前 AWS Control Tower,請從名為 的 AWS CloudFormation 堆疊集中刪除堆疊執行個體AWS-Landing-Zone-Baseline-EnableConfig。在您要註冊的每個帳戶中,在每個部署 AWS AWS Control Tower 的區域,您必須刪除AWS-Landing-Zone-Baseline-EnableConfig堆疊執行個體。由於刪除整個堆疊集需要時間,因此我們建議您僅刪除您正在註冊的帳戶的堆疊執行個體。理想情況下,刪除特定帳戶的堆疊執行個體應會導致刪除 AWS Config 記錄器和交付管道。您可以針對該帳戶執行下列命令來驗證刪除。


      aws configservice describe-configuration-recorders --region <region_name>     
      aws configservice describe-delivery-channels --region <region_name>

從主控台使用 AWS Control Tower 註冊 OU AWS Control Tower 功能

註冊具有現有 AWS 帳戶的整個 OU 之前,請務必執行下列動作:

  • 從該 OU 下所有帳戶的所有區域刪除 AWS Config 記錄器和交付管道,如前所述。

如需詳細資訊,請參閱向 註冊現有的組織單位 AWS Control Tower

在 中註冊帳戶後 AWS Control Tower,您會在 Service Catalog 中看到所註冊帳戶的另一個佈建產品。已佈建產品的名稱會以 Enroll- 作為字首。這表示您現在在 Service Catalog 中為單一帳戶佈建了兩個產品:

  • AWS 登陸區域帳戶自動販賣機中的一個佈建產品

  • 從 註冊到 的一個佈建產品 AWS Control Tower

您可以選擇從 AWS 登陸區域終止帳戶的佈建產品,但建議您等到轉換完成後再等待。

當您終止 AWS 在登陸區域環境中結束之帳戶的佈建產品時,Terminate操作會開始刪除關聯的基準 AWS CloudFormation 堆疊集,您可能想要保留這些堆疊集。請務必評估 manifest.yaml 中的基準堆疊集,並了解刪除堆疊集的影響。如果您在堆疊集中有任何要保留的資源,請避免刪除佈建的產品。部分刪除會在 Service Catalog 主控台中使佈建的產品處於 Tainted 狀態。

或者,您可以從 AWS 登陸區域保留帳戶自動販賣機建立的佈建產品。

在 AWS Control Tower 新組織中將 AWS 帳戶從現有組織註冊到

您可能想要 AWS Control Tower 在新 AWS Organizations 組織中部署 。若要 AWS Control Tower 在新組織中設定 ,請完成下列步驟:

  1. 建立新AWS 帳戶

  2. 在新建立 AWS Control Tower 的帳戶中部署 。

  3. 若要將 AWS 帳戶從現有組織遷移到您部署 的新組織 AWS Control Tower,請參閱指示 。請務必檢閱並了解涵蓋的所有帳戶存取、帳單、授權和稅務考量。

  4. 若要了解在組織之間遷移 AWS 帳戶的程序,請參閱使用AWS Organizations 合併帳單將帳戶遷移至所有特徵部落格文章。

  5. 開始在 中註冊 AWS 帳戶 AWS Control Tower。若要執行註冊,請參閱在現有組織中使用 註冊 AWS Control Tower 現有 AWS 帳戶一節。