Estendi la governance a un'organizzazione esistente - AWS Control Tower
Video: Attivazione di una zona di atterraggio esistente AWS OrganizationsConsiderazioni per IAM Identity Center e le organizzazioni esistentiAccesso ad altri AWS servizi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Estendi la governance a un'organizzazione esistente

Puoi aggiungere la governance di AWS Control Tower a un'organizzazione esistente configurando una landing zone (LZ) come indicato nella Guida per l'utente di AWS Control Tower in Getting Started, Step 2.

Ecco cosa aspettarti quando configuri la landing zone di AWS Control Tower in un'organizzazione esistente.

  • Puoi avere una landing zone per AWS Organizations organizzazione.

  • AWS Control Tower utilizza l'account di gestione AWS Organizations dell'organizzazione esistente come account di gestione. Non è necessario un nuovo account di gestione.

  • AWS Control Tower configura due nuovi account in un'unità organizzativa registrata: un account di audit e un account di registrazione.

  • I limiti di servizio dell'organizzazione devono consentire la creazione di questi due account aggiuntivi.

  • Dopo aver lanciato la landing zone o registrato un'unità organizzativa, i controlli di AWS Control Tower si applicano automaticamente a tutti gli account registrati in quell'unità organizzativa.

  • Puoi registrare altri AWS account esistenti in un'unità organizzativa governata da AWS Control Tower, in modo che i controlli si applichino a tali account.

  • Puoi aggiungerne altri OUs in AWS Control Tower e registrare quelli esistenti OUs.

Per verificare altri prerequisiti per la registrazione e l'iscrizione, consulta Getting Started with AWS Control Tower.

Ecco ulteriori dettagli su come i controlli di AWS Control Tower non si applicano alle OUs organizzazioni AWS che non dispongono di zone di destinazione AWS Control Tower configurate:

  • I nuovi account creati al di fuori di AWS Control Tower Account Factory non sono vincolati dai controlli dell'unità organizzativa registrata.

  • I nuovi account creati in OUs che non sono registrati presso AWS Control Tower non sono vincolati dai controlli, a meno che non vengano specificamente registrati in AWS Control Tower. Per ulteriori informazioni sulla registrazione degli account, consulta Iscrivi un esistente Account AWS.

  • Le organizzazioni esistenti aggiuntive, gli account esistenti e gli account nuovi OUs o creati al di fuori di AWS Control Tower non sono vincolati dai controlli di AWS Control Tower, a meno che non registri separatamente l'unità organizzativa o registri l'account.

Per ulteriori informazioni su come applicare AWS Control Tower agli account esistenti OUs , consultaRegistra un'unità organizzativa esistente con AWS Control Tower.

Per una panoramica del processo di configurazione di una landing zone AWS Control Tower nella tua organizzazione esistente, guarda il video nella sezione successiva.

Nota

Durante la configurazione, AWS Control Tower esegue controlli preliminari per evitare problemi comuni. Tuttavia, se attualmente utilizzi la soluzione AWS Landing Zone per AWS Organizations, contatta il tuo AWS architetto della soluzione prima di provare ad abilitare AWS Control Tower nella tua organizzazione per determinare se AWS Control Tower possa interferire con l'attuale implementazione della landing zone. Inoltre, vedi Se l'account non soddisfa i prerequisiti per informazioni sullo spostamento degli account da una landing zone all'altra.

Video: Attivazione di una zona di atterraggio esistente AWS Organizations

Questo video (7:48) descrive come configurare e abilitare una landing zone di AWS Control Tower in strutture esistenti AWS Organizations . Per una migliore visualizzazione, seleziona l'icona nell'angolo in basso a destra del video per ingrandirlo a schermo intero. È disponibile la didascalia.

Considerazioni per IAM Identity Center e le organizzazioni esistenti

  • Se AWS IAM Identity Center (IAM Identity Center) è già configurato, la regione principale di AWS Control Tower deve essere la stessa della regione IAM Identity Center.

  • AWS Control Tower non elimina una configurazione esistente.

  • Se IAM Identity Center è già abilitato e utilizzi IAM Identity Center Directory, AWS Control Tower aggiunge risorse come set di autorizzazioni, gruppi e così via, e procede come al solito.

  • Se è configurata un'altra directory (esterna, AD, Managed AD), AWS Control Tower non modifica la configurazione esistente. Per ulteriori dettagli, consulta Considerazioni per i clienti AWS IAM Identity Center (IAM Identity Center).

Accesso ad altri AWS servizi

Dopo aver introdotto la tua organizzazione nella governance di AWS Control Tower, potrai comunque accedere a tutti AWS i servizi disponibili tramite AWS Organizations, tramite la AWS Organizations console e APIs. Per ulteriori informazioni, consulta Servizi AWS correlati.