Si administra recursos fuera de AWS Control Tower - AWS Control Tower
Referencia a recursos fuera de AWS Control TowerCambio externo de los nombres de los recursos de AWS Control TowerEliminación de la OU de seguridadEliminación de una cuenta de la OU de seguridadCambios externos que se actualizan automáticamente

Si administra recursos fuera de AWS Control Tower

AWS Control Tower configura cuentas, unidades organizativas y otros recursos en su nombre, a pesar de ser el propietario de estos recursos. Puede cambiar estos recursos dentro o fuera de AWS Control Tower. El lugar más común para cambiar los recursos fuera de AWS Control Tower es la consola de AWS Organizations. En este tema se describe cómo conciliar los cambios en los recursos de AWS Control Tower cuando realiza los cambios fuera de AWS Control Tower.

Al cambiar el nombre, eliminar y trasladar recursos fuera de la consola de AWS Control Tower puede hacer que la consola pierda la sincronización. Muchos cambios se pueden conciliar automáticamente. Algunos cambios requieren un restablecimiento de la zona de aterrizaje para actualizar la información que se muestra en la consola de AWS Control Tower.

En general, los cambios que realice fuera de la consola de AWS Control Tower en los recursos de AWS Control Tower crean un estado de desviación resoluble en la zona de aterrizaje. Para obtener más información sobre estos cambios, consulte Cambios reparables en los recursos.

Tareas que requieren el restablecimiento de la zona de aterrizaje

  • Eliminar la OU de seguridad (en un caso especial, no debe hacerse a la ligera).

  • Eliminar una cuenta compartida de la OU de seguridad (no se recomienda).

  • Actualizar, asociar o desasociar una SCP vinculada a la OU de seguridad.

Cambios que AWS Control Tower actualiza automáticamente

  • Cambiar la dirección de correo electrónico de una cuenta inscrita

  • Cambiar el nombre de una cuenta registrada

  • Crear una nueva OU de nivel superior

  • Cambiar el nombre de una OU registrada

  • Eliminar una OU registrada (excepto la OU de seguridad, que requiere una actualización).

  • Eliminar una cuenta inscrita (excepto una cuenta compartida en la OU de seguridad)

nota

AWS Service Catalog gestiona los cambios de manera diferente a AWS Control Tower. AWS Service Catalog puede crear un cambio en la gestión cuando reconcilia los cambios. Para obtener más información acerca de la actualización de un producto aprovisionado, consulte Actualización de productos aprovisionados en la documentación de AWS Service Catalog.

Referencia a recursos fuera de AWS Control Tower

Cuando crea nuevas OU y cuentas fuera de AWS Control Tower, estas no se rigen por AWS Control Tower, aunque se muestren.

Crear una unidad organizativa

Las OU creadas fuera de AWS Control Tower se denominan no registradas. Se muestran en la página Organización, pero no se rigen por los controles de AWS Control Tower.

Creación de una cuenta de

Las cuentas creadas fuera de AWS Control Tower se denominan no inscritas. Las cuentas inscritas y no inscritas que pertenecen a una OU registrada en AWS Control Tower se muestran en la página Organización. Las cuentas que no pertenecen a una organización registrada se pueden invitar mediante la consola de AWS Organizations. Esta invitación a unirse no inscribe la cuenta en AWS Control Tower ni amplía la gobernanza de AWS Control Tower a la cuenta. Para ampliar la gobernanza mediante la inscripción de la cuenta, vaya a la página Organización o a la página Detalles de la cuenta en AWS Control Tower y elija Inscribir la cuenta.

Cambio externo de los nombres de los recursos de AWS Control Tower

Puede cambiar los nombres de las OU y las cuentas fuera de la consola de AWS Control Tower, y esta se actualiza automáticamente para reflejar dichos cambios.

Cambiar el nombre de una unidad organizativa

En AWS Organizations, puede cambiar el nombre de una OU mediante la API o la consola de AWS Organizations. Cuando cambia el nombre de una OU fuera de AWS Control Tower, la consola de AWS Control Tower refleja automáticamente el cambio de nombre. Sin embargo, si aprovisiona sus cuentas mediante AWS Service Catalog, también debe restablecer la zona de aterrizaje para garantizar que AWS Control Tower siga siendo coherente con AWS Organizations. El flujo de trabajo Restablecer garantiza la coherencia entre los servicios de las OU fundamentales y adicionales. Puede resolver este tipo de desviación desde la página Configuración de la zona de almacenamiento. Consulte la sección denominada “Resolución de la desviación” en Detección y resolución de desviaciones en AWS Control Tower.

AWS Control Tower muestra los nombres de las OU en la página Organización del panel de control de AWS Control Tower. Puede ver si la operación de restablecimiento de la zona de aterrizaje se ha realizado correctamente.

Cambiar el nombre de una cuenta registrada

Cada cuenta de AWS tiene un nombre para mostrar que puede cambiar el usuario raíz de la misma en la consola de Administración de facturación y costos de AWS. Al cambiar el nombre de una cuenta inscrita en AWS Control Tower, el cambio de nombre se refleja automáticamente en AWS Control Tower. Para obtener más información sobre cómo cambiar el nombre de una cuenta, consulte Managing an AWS account en la Guía del usuario de AWS.

Eliminación de la OU de seguridad

Este tipo de desviación es un caso especial. Si elimina la OU de seguridad, aparecerá un página de mensaje de error en la que se le pedirá que restablezca la zona de aterrizaje. Debe restablecer la zona de aterrizaje para poder realizar cualquier otra acción en AWS Control Tower.

  • No podrá realizar ninguna acción en la consola de AWS Control Tower y no podrá crear ninguna cuenta nueva en AWS Service Catalog hasta que se realice el restablecimiento.

  • No podrá visualizar la página Configuración de la zona de almacenamiento donde se encuentra el botón Restablecer.

En esta situación, el proceso de restablecimiento de la zona de aterrizaje crea una nueva OU de seguridad y traslada las dos cuentas compartidas a esta nueva OU. AWS Control Tower marca las cuentas de archivo de registros y de auditoría como desviadas. El mismo proceso resuelve la desviación en estas cuentas.

Si decide que debe eliminar la OU de seguridad, debe saber lo siguiente:

Para poder eliminar la OU de seguridad, debe asegurarse primero de que no contiene cuentas. En concreto, debe eliminar las cuentas de archivo de registro y de auditoría de la OU. Le recomendamos que mueva estas cuentas a otra unidad organizativa.

nota

La acción de eliminar la OU de seguridad debe llevarse a cabo con la debida consideración. La acción podría crear problemas de cumplimiento si el registro se suspende temporalmente y porque es posible que algunos controles no se apliquen.

Para obtener información general acerca de la desviación, consulte «Resolving Drift (Resolver desviación)» en Detección y resolución de desviaciones en AWS Control Tower.

Eliminación de una cuenta de la OU de seguridad

No le recomendamos que elimine ninguna de las cuentas compartidas de la organización ni que las traslade fuera de la OU de seguridad. Si ha eliminado una cuenta compartida de forma accidental, puede seguir los pasos de corrección de esta sección para restaurar la cuenta.

  • Desde la consola de AWS Control Tower: para iniciar el proceso de corrección, siga los pasos de corrección semimanual. Asegúrese de que el usuario o rol que utiliza para acceder a la consola de AWS Control Tower tiene permisos para ejecutar organizations:InviteAccountToOrganization. Si no dispone de dichos permisos, siga los pasos de corrección manual, que utilizan tanto la consola de AWS Control Tower como la de AWS Organizations.

  • Desde la consola de AWS Organizations: este proceso de corrección es un procedimiento un poco más largo y totalmente manual. Cuando siga los pasos de corrección manual, alternará entre la consola de AWS Organizations y la consola de AWS Control Tower. Cuando trabaje en AWS Organizations, necesitará un usuario o rol con la política administrada AWSOrganizationsFullAccess o equivalente. Cuando trabaje en la consola de AWS Control Tower, necesitará un usuario o rol con la política administrada AWSControlTowerServiceRolePolicy o equivalente y permiso para ejecutar todas las acciones de AWS Control Tower (controltower:*).

  • Si los pasos de corrección no restauran la cuenta, póngase en contacto con AWS Support.

Resultados de la eliminación de una cuenta compartida mediante AWS Organizations:

  • La cuenta deja de estar protegida por los controles obligatorios de AWS Control Tower con políticas de control de servicio (SCP). Resultado: los recursos creados por AWS Control Tower en la cuenta se pueden modificar o eliminar.

  • La cuenta deja de estar bajo la cuenta de administración de AWS Organizations. Resultado: el administrador de la cuenta de administración de AWS Organizations deja de tener visibilidad sobre los gastos de la cuenta.

  • AWS Config deja de garantizar la monitorización de la cuenta. Resultado: es posible que el administrador de la cuenta de administración de AWS Organizations no pueda detectar cambios en los recursos.

  • La cuenta ya no pertenece a la organización. Resultado: las actualizaciones y el restablecimiento de AWS Control Tower fallarán.

Restauración de una cuenta compartida mediante la consola de AWS Control Tower (procedimiento semimanual)

  1. Inicie sesión en la consola de AWS Control Tower en https://console.aws.amazon.com/controltower. Debe iniciar sesión como usuario de IAM, usuario de IAM Identity Center o rol con permisos para ejecutar organizations:InviteAccountToOrganization. Si no dispone de dichos permisos, utilice el procedimiento de corrección manual que se describe más adelante en este tema.

  2. En la página Desviación de zona de almacenamiento detectada, seleccione Volver a invitar para corregir la eliminación de la cuenta compartida invitando de nuevo a la cuenta compartida a la organización. Se envía un correo electrónico generado automáticamente a la dirección de correo electrónico de la cuenta.

  3. Acepte la invitación para volver a incorporar la cuenta compartida a la organización. Realice una de las siguientes acciones:

    • Inicie sesión en la cuenta compartida eliminada y, a continuación, vaya a https://console.aws.amazon.com/organizations/home#/invites

    • Si tiene acceso al mensaje de correo electrónico enviado para volver a invitar a la cuenta, inicie sesión en la cuenta eliminada y, a continuación, haga clic en el enlace del mensaje para acceder directamente a la invitación de la cuenta.

    • Si la cuenta compartida eliminada no pertenece a otra organización, inicie sesión en la cuenta, abra la consola de AWS Organizations y vaya a Invitaciones.

  4. Vuelva a iniciar sesión en la cuenta de administración o vuelva a cargar la consola de AWS Control Tower si ya está abierta. Verá la página Desviación de la zona de aterrizaje. Seleccione Restablecer para reparar la zona de aterrizaje.

  5. Espere a que el proceso de restablecimiento finalice.

Si la corrección se realiza correctamente, la cuenta compartida aparece en un estado normal y en conformidad con las normas.

Si los pasos de corrección no restauran la cuenta, póngase en contacto con AWS Support.

Restauración de una cuenta compartida mediante las consolas de AWS Control Tower y AWS Organizations (corrección manual)

  1. Inicie sesión en la consola de AWS Organizations en https://console.aws.amazon.com/organizations/. Debe iniciar sesión como usuario de IAM, usuario de IAM Identity Center o rol con la política administrada AWSOrganizationsFullAccess o equivalente.

  2. Vuelva a invitar a la cuenta compartida a la organización. Para obtener información sobre los requisitos, los requisitos previos y el procedimiento para invitar a una cuenta a AWS Organizations, consulte Inviting an AWS account to your organization en la Guía del usuario de AWS Organizations.

  3. Inicie sesión en la cuenta compartida eliminada y, a continuación, vaya a https://console.aws.amazon.com/organizations/home#/invites para aceptar la invitación.

  4. Vuelva a iniciar sesión en la cuenta de administración.

  5. Inicie sesión en la consola de AWS Control Tower como usuario o rol con la política administrada AWSControlTowerServiceRolePolicy o equivalente y los permisos para ejecutar todas las acciones de AWS Control Tower (controltower:*).

  6. Verá la página Desviación de la zona de aterrizaje con una opción para restablecer la zona de aterrizaje. Seleccione Restablecer para reparar la zona de aterrizaje.

  7. Espere a que el proceso de restablecimiento finalice.

Si la corrección se realiza correctamente, la cuenta compartida aparece en un estado normal y en conformidad con las normas.

Si los pasos de corrección no restauran la cuenta, póngase en contacto con AWS Support.

Cambios externos que se actualizan automáticamente

Los cambios que realice en las direcciones de correo electrónico de la cuenta los actualiza automáticamente AWS Control Tower, pero el generador de cuentas no los actualiza automáticamente.

Cambiar la dirección de correo electrónico de una cuenta gobernada

AWS Control Tower recupera y muestra direcciones de correo electrónico según requiera la experiencia de la consola. Por lo tanto, las direcciones de correo electrónico de cuentas compartidas y de otro tipo se actualizan y se muestran de forma coherente en AWS Control Tower después de cambiarlas.

nota

En AWS Service Catalog, el generador de cuentas muestra los parámetros especificados en la consola al crear un producto aprovisionado. Sin embargo, la dirección de correo electrónico de la cuenta original no se actualiza automáticamente cuando cambia la dirección de correo electrónico de la cuenta. Esto se debe a que la cuenta está conceptualmente contenida en el producto aprovisionado; no es la misma que el producto aprovisionado. Para actualizar este valor, debe actualizar el producto aprovisionado, lo que puede provocar un cambio en la gestión.

Aplicación de reglas de AWS Config externas

AWS Control Tower muestra el estado de conformidad de todas las reglas de AWS Config implementadas en OU registradas en AWS Control Tower, incluidas las reglas activadas fuera de la consola de AWS Control Tower.

Eliminación de recursos de AWS Control Tower fuera AWS Control Tower

Puede eliminar OU y cuentas en AWS Control Tower y no necesita realizar ninguna otra acción para ver las actualizaciones. El generador de cuentas se actualiza automáticamente cuando elimina una OU, pero no cuando elimina una cuenta.

Eliminación de una OU registrada (excepto la OU de seguridad)

En AWS Organizations, puede eliminar unidades organizativas (OU) vacías mediante la API o la consola. Las unidades organizativas que contienen cuentas no se pueden eliminar.

AWS Control Tower recibe una notificación de AWS Organizations cuando se elimina una OU. Actualiza la lista de OU en el generador de cuentas para que la lista de OU registradas siga siendo coherente.

nota

En AWS Service Catalog, el generador de cuentas se actualiza para eliminar la OU eliminada de la lista de OU disponibles en las que puede aprovisionar una cuenta.

Eliminación de una cuenta inscrita de una unidad organizativa

Cuando elimina una cuenta inscrita, AWS Control Tower recibe una notificación y lleva a cabo actualizaciones para que la información siga siendo coherente.

nota

En AWS Service Catalog, el producto aprovisionado del generador de cuentas que representa la cuenta gobernada no se actualiza para eliminar la cuenta. En su lugar, el producto aprovisionado se muestra como TAINTED y en un estado de error. Para limpiar, vaya a AWS Service Catalog, elija el producto aprovisionado y, a continuación, elija Terminate (Terminar).