Planificación de su zona de aterrizaje de AWS Control Tower
Cuando realiza el proceso de configuración, AWS Control Tower lanza un recurso asociado a su cuenta, denominado zona de aterrizaje, que sirve como inicio para sus organizaciones y sus cuentas.
nota
Puede tener una zona de inicio por organización.
Para obtener información sobre algunas de las prácticas recomendadas que debe seguir al planificar y configurar su zona de aterrizaje, consulte Estrategia de varias cuentas de AWS para su zona de aterrizaje de AWS Control Tower.
Formas de configurar AWS Control Tower
Puede configurar una zona de aterrizaje de AWS Control Tower en una organización existente o bien empezar por crear una nueva organización que contenga su zona de aterrizaje de AWS Control Tower.
-
Lanzamiento de AWS Control Tower en una organización existente: esta sección es para los clientes que tienen AWS Organizations listo para que lo gestione AWS Control Tower .
-
Lanzamiento de AWS Control Tower en una nueva organización: esta sección es para clientes sin AWS Organizations, unidades organizativas ni cuentas existentes.
nota
Si ya tiene una zona de aterrizaje de AWS Organizations, puede ampliar la gobernanza de AWS Control Tower desde la zona de aterrizaje existente a algunas o todas sus OU y cuentas existentes dentro de una organización. Consulte Govern existing organizations and accounts.
Comparación de funcionalidad
Aquí le ofrecemos una breve comparativa de las diferencias entre añadir AWS Control Tower a una organización existente o ampliar la gobernanza de AWS Control Tower a las OU y las cuentas. Asimismo, debe tener en cuenta algunas consideraciones especiales si migra a AWS Control Tower desde la solución de la zona de aterrizaje de AWS.
Acerca de la incorporación a una organización existente: es posible agregar AWS Control Tower a una organización existente desde la consola de AWS. En este caso, ya tiene una organización que ha creado en el servicio de AWS Organizations, esa organización no está registrada actualmente en AWS Control Tower y, quiere agregar una zona de aterrizaje posteriormente.
Al agregar una zona de aterrizaje a una organización existente, AWS Control Tower establece una estructura paralela, en el nivel de AWS Organizations. No cambia las OU ni las cuentas de su organización actual.
Acerca de la ampliación de la gobernanza: la ampliación de la gobernanza se aplica a OU y cuentas específicas de una única organización que ya esté registrada en AWS Control Tower, lo que significa que ya existe una zona de aterrizaje para esa organización. Ampliar la gobernanza significa incrementar los controles de AWS Control Tower para que sus restricciones se apliquen a las OU y cuentas específicas de esa organización registrada. En este caso, no lanza una nueva zona de aterrizaje, solo amplía la zona de aterrizaje actual de su organización.
importante
Consideración especial: Si utiliza actualmente la solución de Zona de aterrizaje de AWS (ALZ)
Lanzamiento de AWS Control Tower en una organización existente
Al configurar una zona de aterrizaje de AWS Control Tower en una organización existente, puede comenzar a trabajar inmediatamente, en paralelo con su entorno de AWS Organizations existente. Las demás OU creadas en AWS Organizations permanecen sin cambios porque no están registradas en AWS Control Tower. Puede seguir utilizando tales unidades organizativas y cuentas exactamente como están.
AWS Control Tower se consolida mediante el uso de la cuenta de administración de la organización existente como cuenta de administración. No se necesita una nueva cuenta de administración. Puede lanzar su zona de aterrizaje de AWS Control Tower desde su cuenta de administración existente.
nota
Para configurar AWS Control Tower en una organización existente, los límites de servicio deben permitir la creación de al menos dos cuentas adicionales.
Efectos de añadir AWS Control Tower a su organización actual
AWS Control Tower crea dos cuentas a la organización: una cuenta de auditoría y una cuenta de registro. Estas cuentas mantienen un registro de las acciones realizadas por su equipo, en sus cuentas de usuario final individuales. Las cuentas de auditoría y archivo de registro aparecen en la unidad organizativa de seguridad de la zona de aterrizaje de AWS Control Tower.
Cuando configura su zona de aterrizaje, las cuentas agregadas por AWS Control Tower pasan a formar parte de su AWS Organizations existente y, como tales, se convierten en parte de la facturación de su organización existente.
Resumen de capacidades
La habilitación de AWS Control Tower en una organización de AWS Organizations existente proporciona varias mejoras importantes a la organización.
-
Permite la facturación unificada en todos los grupos de su organización, ya que las cuentas agregadas por AWS Control Tower pasarán a formar parte de su organización existente.
-
Le otorga la capacidad de administrar todas las cuentas desde una cuenta de administración en su unidad organizativa.
-
Simplifica la forma en que aplica y hacen cumplir los controles que cubren la seguridad y la conformidad de las cuentas existentes y nuevas.
importante
Lanzar la zona de aterrizaje de AWS Control Tower en una organización de AWS Organizations existente no le permite extender el gobierno de AWS Control Tower de esa organización a otras unidades organizativas o cuentas que no están registradas en AWS Control Tower.
Para lanzar AWS Control Tower en su organización existente, siga el proceso descrito en Introducción a AWS Control Tower.
Para obtener más información sobre cómo AWS Control Tower interactúa con las organizaciones de AWS Organizations existentes, consulte Control de organizaciones y cuentas con AWS Control Tower.
Lanzamiento de AWS Control Tower en una nueva organización
Si es la primera vez que utiliza AWS Control Tower y no ha trabajado con AWS Organizations, el mejor lugar de empezar es nuestro documento Configuración.
AWS Control Tower configura automáticamente una organización cuando no tiene ninguna configurada.
