Estender a governança a uma organização existente - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Estender a governança a uma organização existente

É possível adicionar a governança do AWS Control Tower a uma organização existente configurando uma zona de pouso (LZ) conforme descrito no Guia do usuário do em Getting Started, Step 2.

Veja o que esperar ao configurar a zona de pouso do AWS Control Tower em uma organização existente.

  • Você pode ter uma landing zone por AWS Organizations organização.

  • O AWS Control Tower usa a conta de gerenciamento da sua AWS Organizations organização atual como sua conta de gerenciamento. Nenhuma nova conta de gerenciamento é necessária.

  • No entanto, o AWS Control Tower configura duas novas contas em uma UO registrada: uma conta de auditoria e uma conta de arquivamento de logs.

  • Os limites de serviço da sua organização devem permitir a criação dessas duas contas adicionais.

  • Depois de iniciar a zona de pouso ou registrar uma UO, os controles do AWS Control Tower se aplicam automaticamente a todas as contas inscritas nessa UO.

  • Você pode inscrever outras AWS contas existentes em uma OU que seja governada pelo AWS Control Tower, para que os controles se apliquem a essas contas.

  • Você pode adicionar mais OUs no AWS Control Tower e registrar os existentes OUs.

Consulte outros pré-requisitos de registro e inscrição em Getting Started with AWS Control Tower.

Aqui estão mais detalhes sobre como os controles do AWS Control Tower não se aplicam às suas OUs organizações da AWS que não têm zonas de pouso da AWS Control Tower configuradas:

  • As novas contas criadas fora do Account Factory do AWS Control Tower não são limitadas pelos controles da UO registrada.

  • Novas contas criadas OUs que não estão registradas no AWS Control Tower não estão vinculadas a controles, a menos que você inscreva especificamente essas contas no AWS Control Tower. Consulte Inscrever um existente Conta da AWS para obter mais informações sobre como registrar contas.

  • Outras organizações existentes, contas existentes e quaisquer contas novas OUs ou criadas por você fora da AWS Control Tower não estão vinculadas aos controles da AWS Control Tower, a menos que você registre separadamente a OU inscreva a conta.

Para obter mais informações sobre como aplicar o AWS Control Tower às contas existentes OUs e às contas, consulteRegistrar uma unidade organizacional existente com o AWS Control Tower.

Consulte uma visão geral do processo de configuração de uma zona de pouso do AWS Control Tower em sua organização existente no vídeo na próxima seção.

nota

Durante a configuração, o AWS Control Tower realiza verificações prévias para evitar problemas comuns. No entanto, se você estiver usando atualmente a solução AWS Landing Zone para AWS Organizations, consulte seu arquiteto de AWS soluções antes de tentar habilitar o AWS Control Tower em sua organização para determinar se o AWS Control Tower pode interferir na implantação atual da sua zona de pouso. Além disso, consulte informações sobre como mover contas de um zona de pouso para outra em Se a conta não atender aos pré-requisitos.

Vídeo: habilitar uma zona de pouso no AWS Organizations existente

Este vídeo (7:48) descreve como configurar e habilitar uma zona de pouso do AWS Control Tower em AWS Organizations estruturas existentes. Para uma melhor visualização, selecione o ícone no canto inferior direito do vídeo para ampliá-lo em tela cheia. A legenda está disponível.

Considerações sobre o Centro de Identidade do IAM e as organizações existentes

  • Se o AWS IAM Identity Center (IAM Identity Center) já estiver configurado, a região de origem do AWS Control Tower deverá ser a mesma que a região do IAM Identity Center.

  • O AWS Control Tower não exclui uma configuração existente.

  • Se o Centro de Identidade do IAM já estiver habilitado e você estiver usando o Diretório do Centro de Identidade do IAM, o AWS Control Tower adicionará recursos como conjuntos de permissões, grupos e assim por diante, e prosseguirá normalmente.

  • Se outro diretório (externo, AD, AD gerenciado) for configurado, o AWS Control Tower não alterará a configuração existente. Consulte mais detalhes em Considerações para clientes AWS IAM Identity Center (IAM Identity Center).

Acesso a outros AWS serviços

Depois de incluir sua organização na governança do AWS Control Tower, você ainda terá acesso a todos os AWS serviços que estão disponíveis por meio do AWS Organizations console APIs e. AWS Organizations Para obter mais informações, consulte Serviços relacionados da AWS.