Registro de una OU - AWS Control Tower

Registro de una OU

En en la página Organización de la consola de AWS Control Tower, puede ver todas las OU y cuentas de la organización en una jerarquía, incluidas las OU que están registradas en AWS Control Tower y las que no lo están.

Por lo general, las OU no registradas se han creado en AWS Organizations y no se rigen por ninguna otra zona de aterrizaje. Puede registrar OU existentes que contengan hasta 1000 cuentas. Si una OU contiene más de 1000 cuentas, no podrá registrarla en AWS Control Tower.

Cómo registrar una UO existente desde la consola

  1. Inicie sesión en la consola de AWS Control Tower en https://console.aws.amazon.com/controltower.

  2. En el menú de navegación del panel izquierdo, seleccione Organización.

  3. En la página Organización, seleccione el botón de opción situado junto a la OU que desea registrar y, a continuación, seleccione Registrar unidad organizativa en el menú desplegable Acciones de la parte superior derecha o, si lo prefiere, seleccione el nombre de la OU para poder ver la página de detalles de la OU correspondiente.

  4. En la página de detalles de la OU, en la parte superior derecha puede seleccionar Registrar OU en el menú desplegable Acciones.

El proceso de registro tarda un mínimo de 10 minutos para ampliar la gobernanza a la OU y hasta 2 minutos adicionales por cada cuenta adicional.

Cómo registrar una UO existente con API

Para registrar una UO existente con las API de AWS Control Tower, puede llamar a la API EnableBaseline con AWSControlTowerBaseline en el campo baselineIdentifier. Para obtener más información, consulte Registro de una unidad organizativa (UO) de AWS Control Tower solo con API.

Resultados del registro de una OU existente

Tras registrar una OU existente, el rol AWSControlTowerExecution permite a AWS Control Tower ampliar la gobernanza a las cuentas individuales. Se aplican barreras de protección y la información sobre las actividades de la cuenta se envía a las cuentas de auditoría y registro.

Entre los resultados figuran los siguientes:

  • AWSControlTowerExecution permite realizar auditorías mediante la cuenta de auditoría de AWS Control Tower.

  • AWSControlTowerExecution le ayuda a configurar el registro de la organización, de modo que todos los registros de cada cuenta se envíen a la cuenta de registro.

  • AWSControlTowerExecution garantiza que los controles de AWS Control Tower que haya seleccionado se apliquen automáticamente a todas las cuentas individuales de las OU, así como a todas las cuentas nuevas que cree en AWS Control Tower.

En el caso de una OU registrada, puede proporcionar informes de conformidad y seguridad basados en las características de auditoría y registro que incorporan los controles de AWS Control Tower. Los equipos de seguridad y conformidad pueden verificar que se cumplen todos los requisitos y que no se ha producido ninguna desviación organizativa. Para obtener más información sobre la desviación, consulte Detección y resolución de desviaciones en AWS Control Tower.

nota

Puede producirse una situación inusual cuando AWS Control Tower muestra las OU y las cuentas. Si ha creado una cuenta en una OU registrada y, posteriormente, traslada esa cuenta inscrita a otra OU que no está registrada, especialmente si utiliza AWS Organizations para trasladar la cuenta, puede ver el resultado “1 de 0” cuentas en la página de detalles de la OU. Además, es posible que haya creado otra cuenta no inscrita en esa OU no registrada. Si hay una cuenta no registrada, la consola puede indicar “1 de 1” en la OU. Parecerá que la cuenta única (recién creada) está inscrita, pero en realidad no lo está. Debe inscribir la nueva cuenta.