Étendre la gouvernance à une organisation existante - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étendre la gouvernance à une organisation existante

Vous pouvez ajouter la gouvernance d'AWS Control Tower à une organisation existante en configurant une zone d'atterrissage (LZ), comme indiqué dans le guide de l'utilisateur d'AWS Control Tower à l'étape 2 de Getting Started.

Voici à quoi vous attendre lorsque vous configurez votre zone de landing zone AWS Control Tower dans une organisation existante.

  • Vous ne pouvez avoir qu'une seule zone de landing zone par AWS Organizations organisation.

  • AWS Control Tower utilise le compte de gestion de votre AWS Organizations organisation existante comme compte de gestion. Aucun nouveau compte de gestion n'est nécessaire.

  • AWS Control Tower configure deux nouveaux comptes dans une unité d'organisation enregistrée : un compte d'audit et un compte de journalisation.

  • Les limites de service de votre organisation doivent permettre la création de ces deux comptes supplémentaires.

  • Une fois que vous avez lancé votre zone d'atterrissage ou enregistré une unité d'organisation, les contrôles d'AWS Control Tower s'appliquent automatiquement à tous les comptes inscrits dans cette unité d'organisation.

  • Vous pouvez inscrire des AWS comptes existants supplémentaires dans une unité d'organisation régie par AWS Control Tower, afin que les contrôles s'appliquent à ces comptes.

  • Vous pouvez en ajouter d'autres OUs dans AWS Control Tower et vous pouvez vous enregistrer déjà OUs.

Pour vérifier les autres conditions préalables à l'enregistrement et à l'inscription, consultez Getting Started with AWS Control Tower.

Voici plus de détails sur la façon dont les contrôles d'AWS Control Tower ne s'appliquent pas aux organisations AWS qui n'ont pas configuré de zones d'atterrissage AWS Control Tower : OUs

  • Les nouveaux comptes créés en dehors d'AWS Control Tower Account Factory ne sont pas soumis aux contrôles de l'unité d'organisation enregistrée.

  • Les nouveaux comptes créés et non enregistrés auprès d'AWS Control Tower ne sont pas soumis à des contrôles, sauf si vous les inscrivez spécifiquement dans AWS Control Tower. OUs Veuillez consulter Inscrire un existant Compte AWS pour de plus amples informations sur l'inscription de comptes.

  • Les organisations existantes supplémentaires, les comptes existants et tout compte nouveau OUs ou créé en dehors d'AWS Control Tower ne sont pas liés par les contrôles d'AWS Control Tower, sauf si vous enregistrez l'unité d'organisation ou que vous inscrivez le compte séparément.

Pour plus d'informations sur la façon d'appliquer AWS Control Tower à des comptes OUs et à des comptes existants, consultezEnregistrer une unité organisationnelle existante auprès d'AWS Control Tower.

Pour une présentation du processus de configuration d'une zone de landing zone AWS Control Tower dans votre organisation existante, regardez la vidéo dans la section suivante.

Note

Lors de la configuration, AWS Control Tower effectue des vérifications préliminaires afin d'éviter les problèmes courants. Toutefois, si vous utilisez actuellement la solution AWS Landing Zone pour AWS Organizations, contactez votre architecte de AWS solutions avant d'essayer d'activer AWS Control Tower dans votre organisation afin de déterminer si AWS Control Tower peut interférer avec le déploiement actuel de votre zone d'atterrissage. Consultez également Si le compte ne répond pas aux prérequis les informations relatives au transfert de comptes d'une zone d'atterrissage à une autre.

Vidéo : Activer une zone d'atterrissage dans une zone existante AWS Organizations

Cette vidéo (7:48) explique comment configurer et activer une zone d'atterrissage AWS Control Tower dans les AWS Organizations structures existantes. Pour un visionnage de meilleure qualité, sélectionnez l'icône dans le coin inférieur droit de la vidéo pour l'afficher en plein écran. Le sous-titrage est disponible.

Considérations relatives à IAM Identity Center et aux organisations existantes

  • Si AWS IAM Identity Center (IAM Identity Center) est déjà configuré, la région d'origine d'AWS Control Tower doit être identique à la région du centre d'identité IAM.

  • AWS Control Tower ne supprime pas une configuration existante.

  • Si IAM Identity Center est déjà activé et si vous utilisez le répertoire IAM Identity Center, AWS Control Tower ajoute des ressources telles que des ensembles d'autorisations, des groupes, etc., et procède comme d'habitude.

  • Si un autre répertoire (externe, AD, Managed AD) est configuré, AWS Control Tower ne modifie pas la configuration existante. Pour en savoir plus, consultez Considérations pour les AWS IAM Identity Center clients (IAM Identity Center).

Accès à d'autres AWS services

Une fois que vous avez intégré votre organisation à la gouvernance d'AWS Control Tower, vous avez toujours accès à tous les AWS services disponibles via AWS Organizations, au moyen de la AWS Organizations console et APIs. Pour de plus amples informations, veuillez consulter Services AWS connexes.