Ringkasan Prasyarat dan batasan Arsitektur Alat Epik Pemecahan Masalah Sumber daya terkait

Migrasikan akun anggota AWS dari AWS Organizations ke AWS Control Tower

Rodolfo Jr. Cerrada, Amazon Web Services

Ringkasan

Pola ini menjelaskan cara memigrasikan akun Amazon Web Services (AWS) dari AWS Organizations, yang merupakan akun anggota yang diatur oleh akun manajemen, ke AWS Control Tower. Dengan mendaftarkan akun di AWS Control Tower, Anda dapat memanfaatkan pagar pembatas preventif dan detektif serta fitur yang merampingkan tata kelola akun Anda. Anda mungkin juga ingin memigrasikan akun anggota Anda jika akun manajemen AWS Organizations Anda telah disusupi, dan Anda ingin memindahkan akun anggota ke organisasi baru yang diatur oleh AWS Control Tower.

AWS Control Tower menyediakan kerangka kerja yang menggabungkan dan mengintegrasikan kemampuan beberapa layanan AWS lainnya, termasuk AWS Organizations, dan memastikan kepatuhan dan tata kelola yang konsisten di seluruh lingkungan multi-akun Anda. Dengan AWS Control Tower, Anda dapat mengikuti serangkaian aturan dan definisi yang ditentukan yang memperluas kemampuan AWS Organizations. Misalnya, Anda dapat menggunakan pagar pembatas untuk memastikan bahwa log keamanan dan izin akses lintas akun yang diperlukan dibuat, dan tidak diubah.

Prasyarat dan batasan

Prasyarat

Akun AWS yang aktif
AWS Control Tower disiapkan di organisasi target Anda di AWS Organizations (untuk petunjuk, lihat Menyiapkan di dokumentasi AWS Control Tower)
Kredensi administrator untuk AWS Control Tower (anggota grup) AWSControlTowerAdmins
Kredensi administrator untuk akun AWS sumber

Batasan

Akun manajemen sumber di AWS Organizations harus berbeda dari akun manajemen target di AWS Control Tower.

Versi produk

AWS Control Tower versi 2.3 (Februari 2020) atau lebih baru (lihat catatan rilis)

Arsitektur

Diagram berikut menggambarkan proses migrasi dan arsitektur referensi. Pola ini memigrasikan akun AWS dari organisasi sumber ke organisasi target yang diatur oleh AWS Control Tower.

Proses pendaftaran AWS Control Tower untuk akun AWS yang dimigrasikan ke organisasi lain dan dipindahkan ke OU terdaftar.

Proses pendaftaran terdiri dari langkah-langkah berikut:

Akun meninggalkan organisasi sumber di AWS Organizations.
Akun tersebut menjadi akun mandiri. Ini berarti bahwa itu bukan milik organisasi mana pun, sehingga tata kelola dan penagihan dikelola secara independen oleh administrator akun.
Organisasi target mengirimkan undangan untuk akun untuk bergabung dengan organisasi.
Akun mandiri menerima undangan dan menjadi anggota organisasi sasaran.
Akun terdaftar di AWS Control Tower dan dipindahkan ke unit organisasi terdaftar (OU). (Kami menyarankan Anda memeriksa dasbor AWS Control Tower untuk mengonfirmasi pendaftaran.) Pada titik ini, semua pagar pembatas yang diaktifkan di OU terdaftar berlaku.

Alat

Layanan AWS

AWS Organizations adalah layanan manajemen akun yang memungkinkan Anda mengkonsolidasikan beberapa akun AWS ke dalam satu entitas (organisasi) yang Anda buat dan kelola secara terpusat.
AWS Control Tower mengintegrasikan kapabilitas layanan lain, termasuk AWS Organizations, AWS IAM Identity Center (penerus AWS Single Sign-On), dan AWS Service Catalog, untuk membantu Anda menegakkan dan mengelola aturan tata kelola untuk keamanan, operasi, dan kepatuhan dalam skala besar di semua organisasi dan akun Anda di AWS Cloud.

Epik

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Verifikasi bahwa akun anggota dapat berjalan sebagai akun yang berdiri sendiri.	Konfirmasikan bahwa akun anggota yang akan meninggalkan organisasi sumber memiliki informasi yang diperlukan untuk beroperasi sebagai akun mandiri. Misalnya, jika akun anggota tidak memiliki informasi penagihan, akun tersebut tidak dapat beroperasi sebagai akun mandiri, karena AWS menggunakan informasi pembayaran untuk membebankan biaya untuk aktivitas AWS yang dapat ditagih yang terjadi saat akun tidak dilampirkan ke organisasi. Biasanya, jika Anda membuat akun anggota menggunakan perintah AWS Organizations console, API, atau AWS Command Line Interface (CLI), informasi yang diperlukan dari akun mandiri tidak dikumpulkan secara otomatis. Untuk menambahkan informasi ini, masuk ke akun, dan tentukan paket dukungan, informasi kontak, dan metode pembayaran. Untuk informasi selengkapnya tentang hal yang perlu Anda ketahui sebelum menghapus akun dari organisasi, lihat Sebelum menghapus akun dari organisasi dalam dokumentasi AWS Organizations.	Administrator akun
Hapus akun anggota dari organisasi sumbernya.	Ikuti petunjuk dalam dokumentasi AWS Organizations untuk menghapus akun anggota dari organisasi. Anda dapat masuk ke akun manajemen organisasi dan menghapus akun anggota, atau masuk ke akun anggota dan meninggalkan organisasi. Jika Anda tidak memiliki kredensi tingkat administrator untuk menghapus atau meninggalkan akun, mintalah bantuan dari administrator organisasi Anda. Jika akun anggota tidak memiliki paket dukungan, informasi kontak, atau informasi pembayaran, Anda akan diminta untuk memberikan dan memverifikasi informasi tersebut. Ketika Anda meninggalkan organisasi, Anda akan diarahkan ke halaman Memulai konsol AWS Organizations, tempat Anda dapat melihat undangan untuk akun Anda untuk bergabung dengan organisasi lain. penting Pada titik ini, akun Anda adalah akun mandiri. Jika Anda menjalankan beban kerja yang tidak ditanggung oleh AWS Tingkat Gratis, Anda akan dikenakan biaya sesuai dengan informasi pembayaran dan penagihan yang Anda berikan untuk akun tersebut.	Administrator akun manajemen atau administrator akun
Verifikasi bahwa akun anggota tidak lagi menjadi bagian dari organisasi sumber.	Di konsol AWS Organizations, Anda seharusnya tidak lagi melihat tombol Tinggalkan organisasi. Sebagai gantinya. Anda harus melihat undangan yang tertunda, jika ada, dari organisasi lain.	Administrator akun
Hapus peran IAM yang memberikan akses ke akun Anda dari organisasi yang Anda tinggalkan.	Saat Anda menghapus akun dari organisasi sumber, peran AWS Identity and Access Management (IAM) yang dibuat oleh AWS Organizations atau oleh administrator tidak akan dihapus secara otomatis. Untuk menghentikan akses dari akun manajemen organisasi sumber, Anda harus menghapus peran IAM secara manual. Untuk informasi selengkapnya, lihat Menghapus peran atau profil instance dalam dokumentasi IAM. Ketika akun anggota meninggalkan organisasi, semua tag yang dilampirkan ke akun akan dihapus. Akun mandiri tidak mendukung tag.	Administrator akun

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Masuk ke AWS Control Tower.	Masuk ke konsol AWS Control Tower sebagai administrator. Saat ini, tidak ada cara langsung untuk memindahkan akun AWS dari organisasi sumber ke organisasi di OU yang diatur oleh AWS Control Tower. Namun, Anda dapat memperluas tata kelola AWS Control Tower ke akun AWS yang ada saat Anda mendaftarkannya ke OU yang sudah diatur oleh AWS Control Tower. Itu sebabnya Anda harus masuk ke AWS Control Tower untuk langkah ini.	Administrator AWS Control Tower
Undang akun anggota.	Masuk ke konsol AWS Organizations, dan navigasikan ke halaman Akun AWS. Pada halaman Tambahkan akun AWS, pilih Undang akun AWS yang ada. Lengkapi informasi akun, termasuk nomor akun 12 digit (tanpa tanda hubung) dan deskripsi dan tag opsional, lalu pilih Kirim undangan. penting Verifikasi bahwa tidak ada aplikasi atau konektivitas jaringan yang akan terpengaruh oleh transfer akun. Tindakan ini mengirimkan email undangan dengan tautan ke akun anggota. Ketika administrator akun mengikuti tautan dan menerima undangan, akun anggota akan muncul di halaman akun AWS. Untuk informasi selengkapnya, lihat Mengundang akun AWS untuk bergabung dengan organisasi Anda dalam dokumentasi AWS Organizations.	Administrator AWS Control Tower
Uji aplikasi dan konektivitas.	Ketika akun anggota telah terdaftar ke organisasi baru, itu muncul di OU dalam root. Ini juga muncul di konsol AWS Control Tower, ditandai sebagai tidak terdaftar di akun, karena belum terdaftar di AWS Control Tower terdaftar OU. Verifikasi hal berikut: Periksa dasbor AWS Control Tower untuk melihat apakah ada pelanggaran pagar pembatas. Periksa konektivitas jaringan (VPN atau AWS Direct Connect) untuk memastikan tidak terpengaruh oleh transfer. (Pemilik aplikasi) Uji aplikasi yang terkait dengan akun ini untuk memverifikasi bahwa mereka berjalan seperti yang diharapkan, dan dependensi tidak terpengaruh oleh transfer akun.	Administrator AWS Control Tower, Administrator akun anggota, Pemilik aplikasi

Tugas

Deskripsi

Keterampilan yang dibutuhkan

Masuk ke AWS Control Tower.

Masuk ke konsol AWS Control Tower sebagai administrator.

Saat ini, tidak ada cara langsung untuk memindahkan akun AWS dari organisasi sumber ke organisasi di OU yang diatur oleh AWS Control Tower. Namun, Anda dapat memperluas tata kelola AWS Control Tower ke akun AWS yang ada saat Anda mendaftarkannya ke OU yang sudah diatur oleh AWS Control Tower. Itu sebabnya Anda harus masuk ke AWS Control Tower untuk langkah ini.

Administrator AWS Control Tower

Undang akun anggota.

Masuk ke konsol AWS Organizations, dan navigasikan ke halaman Akun AWS.
Pada halaman Tambahkan akun AWS, pilih Undang akun AWS yang ada.
Lengkapi informasi akun, termasuk nomor akun 12 digit (tanpa tanda hubung) dan deskripsi dan tag opsional, lalu pilih Kirim undangan.

penting

Verifikasi bahwa tidak ada aplikasi atau konektivitas jaringan yang akan terpengaruh oleh transfer akun.

Tindakan ini mengirimkan email undangan dengan tautan ke akun anggota. Ketika administrator akun mengikuti tautan dan menerima undangan, akun anggota akan muncul di halaman akun AWS. Untuk informasi selengkapnya, lihat Mengundang akun AWS untuk bergabung dengan organisasi Anda dalam dokumentasi AWS Organizations.

Administrator AWS Control Tower

Uji aplikasi dan konektivitas.

Ketika akun anggota telah terdaftar ke organisasi baru, itu muncul di OU dalam root. Ini juga muncul di konsol AWS Control Tower, ditandai sebagai tidak terdaftar di akun, karena belum terdaftar di AWS Control Tower terdaftar OU.

Verifikasi hal berikut:

Periksa dasbor AWS Control Tower untuk melihat apakah ada pelanggaran pagar pembatas.
Periksa konektivitas jaringan (VPN atau AWS Direct Connect) untuk memastikan tidak terpengaruh oleh transfer.
(Pemilik aplikasi) Uji aplikasi yang terkait dengan akun ini untuk memverifikasi bahwa mereka berjalan seperti yang diharapkan, dan dependensi tidak terpengaruh oleh transfer akun.

Administrator AWS Control Tower, Administrator akun anggota, Pemilik aplikasi

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Tinjau pagar pembatas dan perbaiki pelanggaran apa pun.	Tinjau pagar pembatas yang ditentukan dalam target OU, terutama pagar pembatas pencegahan, dan perbaiki setiap pelanggaran. Sejumlah pagar pembatas wajib dan preventif diaktifkan secara default saat Anda menyiapkan zona landing zone AWS Control Tower. Ini tidak dapat dinonaktifkan. Anda harus meninjau pagar pembatas wajib ini dan memperbaiki akun anggota (secara manual atau dengan menggunakan skrip) sebelum Anda mendaftarkan akun. catatan Pagar pembatas preventif menjaga agar akun terdaftar AWS Control Tower mematuhi dan mencegah pelanggaran kebijakan. Setiap pelanggaran pagar pembatas preventif dapat memengaruhi pendaftaran. Pelanggaran pagar pembatas Detektif muncul di dasbor AWS Control Tower, jika terdeteksi, setelah pendaftaran berhasil. Mereka tidak mempengaruhi proses pendaftaran. Untuk informasi selengkapnya, lihat Guardrails di AWS Control Tower dalam dokumentasi AWS.	Administrator AWS Control Tower, Administrator akun anggota
Periksa masalah konektivitas setelah memperbaiki pelanggaran pagar pembatas.	Dalam beberapa kasus, Anda mungkin harus menutup port tertentu atau menonaktifkan layanan untuk memperbaiki pelanggaran pagar pembatas. Pastikan aplikasi yang menggunakan port dan layanan tersebut diperbaiki sebelum Anda mendaftarkan akun.	Pemilik aplikasi

Tugas

Deskripsi

Keterampilan yang dibutuhkan

Tinjau pagar pembatas dan perbaiki pelanggaran apa pun.

Tinjau pagar pembatas yang ditentukan dalam target OU, terutama pagar pembatas pencegahan, dan perbaiki setiap pelanggaran.

Sejumlah pagar pembatas wajib dan preventif diaktifkan secara default saat Anda menyiapkan zona landing zone AWS Control Tower. Ini tidak dapat dinonaktifkan. Anda harus meninjau pagar pembatas wajib ini dan memperbaiki akun anggota (secara manual atau dengan menggunakan skrip) sebelum Anda mendaftarkan akun.

catatan

Pagar pembatas preventif menjaga agar akun terdaftar AWS Control Tower mematuhi dan mencegah pelanggaran kebijakan. Setiap pelanggaran pagar pembatas preventif dapat memengaruhi pendaftaran. Pelanggaran pagar pembatas Detektif muncul di dasbor AWS Control Tower, jika terdeteksi, setelah pendaftaran berhasil. Mereka tidak mempengaruhi proses pendaftaran. Untuk informasi selengkapnya, lihat Guardrails di AWS Control Tower dalam dokumentasi AWS.

Administrator AWS Control Tower, Administrator akun anggota

Periksa masalah konektivitas setelah memperbaiki pelanggaran pagar pembatas.

Dalam beberapa kasus, Anda mungkin harus menutup port tertentu atau menonaktifkan layanan untuk memperbaiki pelanggaran pagar pembatas. Pastikan aplikasi yang menggunakan port dan layanan tersebut diperbaiki sebelum Anda mendaftarkan akun.

Pemilik aplikasi

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Masuk ke konsol AWS Control Tower.	Gunakan kredenal masuk yang memiliki izin administratif untuk AWS Control Tower. Jangan gunakan kredensi pengguna root (akun manajemen) untuk mendaftarkan akun AWS Organizations. Ini akan menampilkan pesan kesalahan.	Administrator AWS Control Tower
Daftarkan akun.	Dari halaman Account Factory di AWS Control Tower, pilih Daftarkan akun. Isi detailnya, termasuk alamat email yang terkait dengan akun yang ingin Anda daftarkan, nama tampilan yang akan muncul di AWS Control Tower, alamat email IAM Identity Center, nama depan dan belakang pemilik akun, dan OU tempat Anda ingin mendaftarkan akun. Alamat email IAM Identity Center adalah alamat email pengguna pilihan Anda. Anda dapat menggunakan alamat email yang sama dengan email akun. Pilih Daftarkan akun. Untuk informasi selengkapnya, lihat Mendaftarkan akun yang ada di dokumentasi AWS Control Tower.	Administrator AWS Control Tower

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Verifikasi akun.	Dari AWS Control Tower, pilih Akun. Akun yang baru saja Anda daftarkan memiliki status awal Mendaftar. Ketika pendaftaran selesai, statusnya berubah menjadi Terdaftar.	Administrator AWS Control Tower, Administrator akun anggota
Periksa pelanggaran pagar pembatas.	Guardrails yang didefinisikan dalam OU akan secara otomatis berlaku untuk akun anggota terdaftar. Pantau dasbor AWS Control Tower untuk pelanggaran dan perbaiki sesuai dengan itu. Untuk informasi selengkapnya, lihat Guardrails di AWS Control Tower dalam dokumentasi AWS.	Administrator AWS Control Tower, Administrator akun anggota

Pemecahan Masalah

Isu	Solusi
Anda menerima pesan galat: Terjadi kesalahan yang tidak diketahui. Coba lagi nanti, atau hubungi AWS Support.	Kesalahan ini terjadi saat Anda menggunakan kredensi pengguna root (akun manajemen) di AWS Control Tower untuk mendaftarkan akun baru. AWS Service Catalog tidak dapat memetakan Portofolio Account Factory atau produk ke pengguna root, yang menghasilkan pesan kesalahan. Untuk memperbaiki kesalahan ini, gunakan kredensil pengguna (administrator) non-root, akses penuh untuk mendaftarkan akun baru. Untuk informasi selengkapnya tentang cara menetapkan akses administratif ke pengguna administratif, lihat Memulai di dokumentasi AWS IAM Identity Center (penerus AWS Single Sign-On).
Halaman AWS Control Tower Activities menampilkan aksi Get Catastrophic Drift.	Tindakan ini mencerminkan pemeriksaan drift layanan dan tidak menunjukkan masalah apa pun dengan penyiapan AWS Control Tower. Tidak ada tindakan yang diperlukan.

Isu

Solusi

Anda menerima pesan galat: Terjadi kesalahan yang tidak diketahui. Coba lagi nanti, atau hubungi AWS Support.

Kesalahan ini terjadi saat Anda menggunakan kredensi pengguna root (akun manajemen) di AWS Control Tower untuk mendaftarkan akun baru. AWS Service Catalog tidak dapat memetakan Portofolio Account Factory atau produk ke pengguna root, yang menghasilkan pesan kesalahan. Untuk memperbaiki kesalahan ini, gunakan kredensil pengguna (administrator) non-root, akses penuh untuk mendaftarkan akun baru. Untuk informasi selengkapnya tentang cara menetapkan akses administratif ke pengguna administratif, lihat Memulai di dokumentasi AWS IAM Identity Center (penerus AWS Single Sign-On).

Halaman AWS Control Tower Activities menampilkan aksi Get Catastrophic Drift.

Tindakan ini mencerminkan pemeriksaan drift layanan dan tidak menunjukkan masalah apa pun dengan penyiapan AWS Control Tower. Tidak ada tindakan yang diperlukan.

Sumber daya terkait

Dokumentasi

Terminologi dan konsep AWS Organizations (dokumentasi AWS Organizations)
Apa itu AWS Control Tower? (Dokumentasi AWS Control Tower)
Menghapus akun anggota dari organisasi Anda (dokumentasi AWS Organizations)
Membuat akun administrator di AWS Control Tower (dokumentasi AWS Control Tower)

Tutorial dan video

Workshop AWS Control Tower (bengkel mandiri)
Apa itu AWS Control Tower? (video)
Penyediaan Pengguna di AWS Control Tower (video)
Aktifkan AWS Control Tower untuk Organisasi yang Ada (video)

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Kelola produk AWS Service Catalog di beberapa akun dan Wilayah AWS

Pantau kluster Alat Pacu Jantung SAP RHEL