View a markdown version of this page

Enregistrer une UO existante - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Enregistrer une UO existante

Dans la console AWS Control Tower, sur la page Organisation, vous pouvez consulter l'ensemble des unités d'organisation et des comptes de votre organisation dans une hiérarchie, y compris les unités d'organisation enregistrées auprès d'AWS Control Tower et celles qui ne le sont pas.

En général, les UO non enregistrées ont été créées dans AWS Organizations, et elles ne sont régies par aucune autre zone d'atterrissage. Vous pouvez enregistrer des unités d'organisation existantes contenant jusqu'à 1 000 comptes. Si une unité d'organisation contient plus de 1 000 comptes, vous ne pouvez pas l'enregistrer dans AWS Control Tower.

Pour enregistrer une unité d'organisation existante depuis la console

  1. Connectez-vous à la console AWS Control Tower à l'adresse https://console.aws.amazon.com/controltower.

  2. Dans le menu de navigation du volet gauche, sélectionnez Organisation.

  3. Sur la page Organisation, sélectionnez le bouton radio à côté de l'unité d'organisation que vous souhaitez enregistrer, puis sélectionnez Enregistrer l'unité organisationnelle dans le menu déroulant Actions en haut à droite, ou sélectionnez le nom de l'unité d'organisation afin de consulter la page de détails de l'unité organisationnelle correspondante.

  4. Sur la page des détails de l'unité d'organisation, en haut à droite, vous pouvez sélectionner Enregistrer l'unité d'organisation dans le menu déroulant Actions.

Le processus d'enregistrement prend au moins 10 minutes pour étendre la gouvernance à l'unité d'organisation, et jusqu'à 2 minutes supplémentaires pour chaque compte supplémentaire.

Pour enregistrer une unité d'organisation existante avec des API

Pour enregistrer une unité d'organisation existante auprès des API AWS Control Tower, vous pouvez appeler l'EnableBaselineAPI en indiquant AWSControlTowerBaseline dans le baselineIdentifier champ. Pour plus d'informations, consultez Enregistrer une unité d'organisation AWS Control Tower avec des API uniquement.

Résultats de l'enregistrement d'une UO existante

Une fois que vous avez enregistré une unité d'organisation existante, le AWSControlTowerExecution rôle permet à AWS Control Tower d'étendre la gouvernance à ses comptes individuels. Des barrières de sécurité sont appliquées et les informations relatives aux activités du compte sont communiquées à vos comptes d'audit et de journalisation.

Les autres résultats incluent les suivants :

  • AWSControlTowerExecution permet l'audit par le compte d'audit AWS Control Tower.

  • AWSControlTowerExecutionvous aide à configurer la journalisation de votre organisation, de sorte que tous les journaux de chaque compte soient envoyés au compte de journalisation.

  • AWSControlTowerExecutiongarantit que les contrôles AWS Control Tower que vous avez sélectionnés s'appliquent automatiquement à chaque compte individuel de vos unités d'organisation, ainsi qu'à chaque nouveau compte que vous créez dans AWS Control Tower.

Pour une unité d'organisation enregistrée, vous pouvez fournir des rapports de conformité et de sécurité basés sur les fonctionnalités d'audit et de journalisation intégrées par les contrôles d'AWS Control Tower. Vos équipes de sécurité et de conformité peuvent vérifier que toutes les exigences sont satisfaites et qu'aucune dérive organisationnelle ne s'est produite. Pour plus d'informations sur la dérive, consultezDétectez et corrigez les dérives dans AWS Control Tower.

Note

Une situation inhabituelle peut se produire lorsqu'AWS Control Tower affiche les unités d'organisation et leurs comptes. Si vous avez créé un compte dans une unité organisationnelle enregistrée, puis que vous déplacez ce compte inscrit dans une autre unité d'organisation non enregistrée, en particulier si vous avez l'habitude de AWS Organizations déplacer le compte, vous pouvez voir le résultat « 1 sur 0 » comptes sur la page de détails de votre unité d'organisation. En outre, vous avez peut-être créé un autre compte non inscrit dans cette unité d'organisation non enregistrée. S'il existe un compte non enregistré, la console peut indiquer « 1 sur 1 » pour l'unité d'organisation. Il semblerait que le compte unique (nouvellement créé) soit inscrit, mais en réalité ce n'est pas le cas. Vous devez enregistrer le nouveau compte.