Ampliación del control a una organización existente
Puede añadir la gobernanza de AWS Control Tower a una organización existente configurando una zona de aterrizaje (LZ) como se describe en la Guía del usuario de AWS Control Tower en Getting Started, Step 2.
Esto es lo que puede esperar cuando configure la zona de aterrizaje de AWS Control Tower en una organización existente.
-
Puede tener una zona de aterrizaje por organización de AWS Organizations.
-
AWS Control Tower utiliza la cuenta de administración de la organización de AWS Organizations existente como cuenta de administración. No se necesita una nueva cuenta de administración.
-
AWS Control Tower configura dos cuentas nuevas en una OU registrada: una cuenta de auditoría y una cuenta de registro.
-
Los límites de servicio de su organización deben permitir la creación de estas dos cuentas adicionales.
-
Una vez que haya lanzado la zona de aterrizaje o registrado una OU, los controles de AWS Control Tower se aplican automáticamente a todas las cuentas inscritas en esa OU.
-
Puede inscribir cuentas de AWS existentes adicionales en una OU regida por AWS Control Tower para que los controles se apliquen a esas cuentas.
-
Puede añadir más OU en AWS Control Tower y registrar las existentes.
Para comprobar otros requisitos previos para el registro y la inscripción, consulte Getting Started with AWS Control Tower.
A continuación encontrará más detalles sobre cómo los controles de AWS Control Tower no se aplican a las OU de AWS Organizations que no tienen zonas de aterrizaje de AWS Control Tower configuradas:
-
Las nuevas cuentas creadas fuera del generador de cuentas de AWS Control Tower no están sujetas a los controles de la OU registrada.
-
Las cuentas nuevas creadas en OU que no están registradas en AWS Control Tower no están sujetas a controles, a menos que inscriba específicamente dichas cuentas en AWS Control Tower. Consulte Acerca de la inscripción de cuentas existentes para obtener más información sobre cómo inscribir cuentas.
-
Las organizaciones existentes adicionales, las cuentas existentes y las OU nuevas o las cuentas que cree fuera de AWS Control Tower no están sujetas a los controles de AWS Control Tower, a menos que registre la OU o inscriba la cuenta por separado.
Para obtener más información sobre cómo aplicar AWS Control Tower a las OU y cuentas existentes, consulte Registro de una OU existente en AWS Control Tower.
Para obtener información general del proceso de configuración de una zona de aterrizaje de AWS Control Tower en la organización existente, consulte el vídeo de la siguiente sección.
nota
Durante la configuración, AWS Control Tower realiza comprobaciones previas para evitar problemas comunes. Sin embargo, si actualmente utiliza la solución de AWS Landing Zone para AWS Organizations, consulte con el arquitecto de soluciones de AWS antes de intentar habilitar AWS Control Tower en la organización para determinar si AWS Control Tower puede interferir con la implementación actual de la zona de aterrizaje. Consulte también Si la cuenta no cumple los requisitos previos para obtener información sobre cómo trasladar cuentas de una zona de aterrizaje a otra.
Vídeo: Habilitación de una zona de aterrizaje en AWS Organizations existentes
En este vídeo (7:48) se describe cómo configurar y habilitar una zona de aterrizaje de AWS Control Tower en las estructuras existentes de AWS Organizations. Para una mejor visualización, seleccione el icono situado en la esquina inferior derecha del vídeo para agrandarlo a pantalla completa. Hay subtítulos disponibles.
Consideraciones sobre IAM Identity Center y las organizaciones existentes
-
Si AWS IAM Identity Center (IAM Identity Center) ya está configurado, la región de origen de AWS Control Tower debe ser la misma que la región del IAM Identity Center.
-
AWS Control Tower no elimina una configuración existente.
-
Si IAM Identity Center ya está habilitado y utiliza el directorio de IAM Identity Center, AWS Control Tower añade recursos como conjuntos de permisos, grupos, etc., y continúa como de costumbre.
-
Si se configura otro directorio (externo, AD, AD administrado), AWS Control Tower no cambia la configuración existente. Para obtener más información, consulta Consideraciones para clientes de AWS IAM Identity Center (IAM Identity Center).
Acceso a otros servicios de AWS
Una vez que haya incorporado la organización a la gobernanza de AWS Control Tower, seguirá teniendo acceso a todos los servicios de AWS que estén disponibles a través de AWS Organizations mediante la consola y las API de AWS Organizations. Para obtener más información, consulte Servicios de AWS relacionados.
