As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Orientações para criar e modificar recursos do AWS Control Tower Indicamos a seguir as práticas recomendadas para criar e modificar recursos no AWS Control Tower. Essas orientações podem mudar à medida que o serviço é atualizado. Lembre-se de que o [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica ao seu ambiente do AWS Control Tower. **Orientação geral** + Não modifique nem exclua nenhum recurso criado pelo AWS Control Tower, incluindo recursos na conta de gerenciamento, nas contas compartilhadas e nas contas-membros. Se você modificar esses recursos, talvez seja necessário atualizar a zona de pouso ou registrar novamente uma UO, e a modificação pode resultar em relatórios de conformidade imprecisos. **Em particular:** + Mantenha um AWS Config gravador ativo. Se você excluir o gravador do Config, os controles de detecção não poderão detectar e relatar desvios. Recursos não compatíveis podem ser relatados como **Compatíveis** devido à insuficiência de informações. + Não modifique nem exclua as funções AWS Identity and Access Management (IAM) criadas nas contas compartilhadas na unidade organizacional de segurança (OU). A modificação dessas funções pode exigir uma atualização da sua zona de destino. + Não exclua o perfil `AWSControlTowerExecution` de suas contas-membros, mesmo em contas não inscritas. Se você fizer isso, não poderá cadastrar essas contas no AWS Control Tower nem registrar seus pais OUs imediatos. + Não proíba o uso de nenhum Regiões da AWS por meio de SCPs ou AWS Security Token Service (AWS STS). Isso fará com que o AWS Control Tower entre em um estado indefinido. Se você proibir regiões com AWS STS, sua funcionalidade falhará nessas regiões, porque a autenticação não estaria disponível nessas regiões. Em vez disso, confie na capacidade de negar a região da torre de controle da AWS, conforme mostrado no controle, [negue acesso AWS com base no solicitado Região da AWS](https://docs.aws.amazon.com//controltower/latest/userguide/primary-region-deny-policy.html), que funciona no nível da zona de pouso, ou no controle de [negação da região de controle aplicado à OU](https://docs.aws.amazon.com//controltower/latest/userguide/ou-region-deny.html), que funciona no nível da OU para restringir o acesso às regiões. + O AWS Organizations `FullAWSAccess` SCP deve ser aplicado e não deve ser mesclado com outro. SCPs A alteração nessa SCP não é relatada como um desvio. No entanto, algumas mudanças poderão afetar a funcionalidade do AWS Control Tower de maneiras imprevisíveis, se o acesso a determinados recursos for negado. Por exemplo, se o SCP for desanexado ou modificado, uma conta poderá perder o acesso a um AWS Config gravador ou criar uma lacuna no registro. CloudTrail + Não use a AWS Organizations `DisableAWSServiceAccess` API para desativar o acesso do serviço AWS Control Tower à organização em que você configurou sua landing zone. Se você fizer isso, certos recursos de detecção de desvios do AWS Control Tower poderão não funcionar adequadamente sem o suporte de mensagens do AWS Organizations. Esses recursos de detecção de desvios ajudam a garantir que o AWS Control Tower possa relatar o status de conformidade de unidades organizacionais, contas e controles em sua organização com precisão. Para obter mais informações, consulte [API\_DisableAWSServiceAccessa Referência AWS Organizations da API](https://docs.aws.amazon.com//organizations/latest/APIReference/API_DisableAWSServiceAccess.html). + Em geral, o AWS Control Tower executa uma única ação por vez, que deve ser concluída para que a outra ação possa começar. Por exemplo, se você tentar provisionar uma conta enquanto o processo de habilitação de um controle já estiver em operação, ocorrerá uma falha no provisionamento de contas. **Exceção:** + O AWS Control Tower permite ações simultâneas para implantar controles opcionais. Consulte mais informações em [Concurrent deployment for optional controls](https://docs.aws.amazon.com//controltower/latest/userguide/enable-controls-on-ou.html#concurrent-optional-controls). + O AWS Control Tower permite até dez ações simultâneas de criação, atualização ou inscrição em contas com o Account Factory. **nota** Consulte mais informações sobre os recursos criados pelo AWS Control Tower em [O que são as contas compartilhadas?](what-shared.md). **Dicas sobre contas e OUs** + Recomendamos que você mantenha cada UO registrada em um máximo de mil contas, para que seja possível atualizar essas contas com o recurso **Registrar a UO novamente** sempre que forem necessárias atualizações de conta, como ao configurar novas regiões para governança. + Para reduzir o tempo necessário ao registrar uma UO, recomendamos que você mantenha o número de contas por UO em torno de 680, mesmo que o limite seja de mil contas por UO. Como regra geral, o tempo necessário para registrar uma UO aumenta de acordo com o número de regiões nas quais a UO está operando, multiplicado pelo número de contas na UO. + Como estimativa, uma UO com 680 contas pode exigir até duas horas para o registro e a habilitação dos controles, e até uma hora para o novo registro. Além disso, uma UO que tem muitos controles leva mais tempo para ser registrada do que uma UO com poucos controles. + Uma preocupação em permitir um prazo maior para registrar uma UO é que esse processo bloqueia outras ações. Alguns clientes se sentem confortáveis em permitir períodos mais longos para o registro e o novo registro de uma OU, porque preferem permitir mais contas em cada UO.