Estender a governança a uma organização existente
É possível adicionar a governança do AWS Control Tower a uma organização existente configurando uma zona de pouso (LZ) conforme descrito no Guia do usuário do em Getting Started, Step 2.
Veja o que esperar ao configurar a zona de pouso do AWS Control Tower em uma organização existente.
-
É possível ter uma zona de pouso por organização do AWS Organizations.
-
O AWS Control Tower usa a conta de gerenciamento da organização existente do AWS Organizations como sua conta de gerenciamento. Nenhuma nova conta de gerenciamento é necessária.
-
No entanto, o AWS Control Tower configura duas novas contas em uma UO registrada: uma conta de auditoria e uma conta de arquivamento de logs.
-
Os limites de serviço da sua organização devem permitir a criação dessas duas contas adicionais.
-
Depois de iniciar a zona de pouso ou registrar uma UO, os controles do AWS Control Tower se aplicam automaticamente a todas as contas inscritas nessa UO.
-
Você pode Inscrever outras contas da AWS existentes em uma UO que seja administrada pelo AWS Control Tower, para que os controles se apliquem a essas contas.
-
Você pode adicionar mais UOs no AWS Control Tower e Registrar OUs existentes.
Consulte outros pré-requisitos de registro e inscrição em Getting Started with AWS Control Tower.
Veja mais detalhes sobre como os controles do AWS Control Tower não se aplicam às suas UOs no AWS Organizations que não têm zonas de pouso configuradas:
-
As novas contas criadas fora do Account Factory do AWS Control Tower não são limitadas pelos controles da UO registrada.
-
As novas contas criadas em UOs que não estão registradas com o AWS Control Tower não são limitadas por controles, a menos que você opte por Inscrever especificamente essas contas no AWS Control Tower. Consulte Sobre como inscrever contas existentes para obter mais informações sobre como registrar contas.
-
Outras organizações existentes, contas existentes e quaisquer novas UOs ou contas que você criar fora do AWS Control Tower não estão vinculadas aos controles do AWS Control Tower, a menos que você registre separadamente a UO inscreva a conta.
Consulte mais informações sobre como aplicar o AWS Control Tower às UOs e contas existentes em Registrar uma unidade organizacional existente com o AWS Control Tower.
Consulte uma visão geral do processo de configuração de uma zona de pouso do AWS Control Tower em sua organização existente no vídeo na próxima seção.
nota
Durante a configuração, o AWS Control Tower realiza verificações prévias para evitar problemas comuns. No entanto, se você estiver usando atualmente a solução Zona de Pouso da AWS para AWS Organizations, consulte seu arquiteto de soluções da AWS antes de tentar habilitar o AWS Control Tower em sua organização a fim de determinar se o AWS Control Tower pode interferir na implantação atual da zona de pouso. Além disso, consulte informações sobre como mover contas de um zona de pouso para outra em Se a conta não atender aos pré-requisitos.
Vídeo: habilitar uma zona de pouso no AWS Organizations existente
Este vídeo (7:48) descreve como configurar e habilitar uma zona de pouso do AWS Control Tower em estruturas existentes do AWS Organizations. Para uma melhor visualização, selecione o ícone no canto inferior direito do vídeo para ampliá-lo em tela cheia. A legenda está disponível.
Considerações sobre o Centro de Identidade do IAM e as organizações existentes
-
Se o AWS IAM Identity Center (Centro de Identidade do IAM) já estiver configurado, a região de origem do AWS Control Tower deverá ser a mesma que a região do Centro de Identidade do IAM.
-
O AWS Control Tower não exclui uma configuração existente.
-
Se o Centro de Identidade do IAM já estiver habilitado e você estiver usando o Diretório do Centro de Identidade do IAM, o AWS Control Tower adicionará recursos como conjuntos de permissões, grupos e assim por diante, e prosseguirá normalmente.
-
Se outro diretório (externo, AD, AD gerenciado) for configurado, o AWS Control Tower não alterará a configuração existente. Consulte mais detalhes em Considerações para clientes do AWS IAM Identity Center (Centro de Identidade do IAM).
Acessar outros serviços da AWS
Depois de incluir sua organização na governança do AWS Control Tower, você ainda terá acesso a todos os serviços da AWS que estão disponíveis no AWS Organizations, por meio do console e das APIs do AWS Organizations. Para obter mais informações, consulte Serviços relacionados da AWS.
