Pré-requisito: verificações automáticas de pré-execução da conta de gerenciamento - AWS Control Tower
Considerações para clientes do AWS IAM Identity Center (Centro de Identidade do IAM)

Pré-requisito: verificações automáticas de pré-execução da conta de gerenciamento

Antes que o AWS Control Tower configure a zona de pouso, ele executa automaticamente uma série de verificações de pré-execução em sua conta. Não é necessária nenhuma ação de sua parte para essas verificações, que garantem que sua conta de gerenciamento esteja pronta para as alterações que estabelecem a zona de pouso. Aqui estão as verificações executadas pelo AWS Control Tower antes de configurar uma zona de pouso:

  • Os limites de serviço existentes da conta da Conta da AWS devem ser suficientes para o AWS Control Tower ser iniciado. Para obter mais informações, consulte Limitações e cotas no AWS Control Tower.

  • A Conta da AWS deve estar inscrita nos seguintes serviços da AWS:

    • Amazon Simple Storage Service (Amazon S3)

    • Amazon Elastic Compute Cloud (Amazon EC2)

    • Amazon SNS

    • Amazon Virtual Private Cloud (Amazon VPC)

    • AWS CloudFormation

    • AWS CloudTrail

    • Amazon CloudWatch

    • AWS Config

    • AWS Identity and Access Management (IAM)

    • AWS Lambda

    nota

    Por padrão, todas as contas são inscritas nesses serviços.

Considerações para clientes do AWS IAM Identity Center (Centro de Identidade do IAM)

  • Se o AWS IAM Identity Center (Centro de Identidade do IAM) já estiver configurado, a região de origem do AWS Control Tower deverá ser a mesma que a região do Centro de Identidade do IAM.

  • O Centro de Identidade do IAM só pode ser instalado na conta de gerenciamento de uma organização.

  • Três opções se aplicam ao seu diretório do Centro de Identidade do IAM, com base na fonte de identidade que você escolher:

    • Repositório de Usuários do Centro de Identidade do IAM: se o AWS Control Tower estiver configurado com o Centro de Identidade do IAM, o AWS Control Tower cria grupos no diretório do Centro de Identidade do IAM e provisiona o acesso a esses grupos, para o usuário selecionado, para contas-membros.

    • Active Directory: se o Centro de Identidade do IAM para o AWS Control Tower estiver configurado com o Active Directory, o AWS Control Tower não gerenciará o diretório do Centro de Identidade do IAM. Ele não atribui usuários ou grupos a novas contas da AWS.

    • Provedor de identidade externo: se o Centro de Identidade do IAM para o AWS Control Tower estiver configurado com um provedor de identidades (IdP) externo, o AWS Control Tower criará grupos no diretório do Centro de Identidade do IAM e provisionará o acesso a esses grupos ao usuário selecionado para contas-membros. Você pode especificar um usuário existente do seu IdP externo no Account Factory durante a criação da conta, e o AWS Control Tower concede a esse usuário acesso à conta recém-fornecida ao sincronizar usuários com o mesmo nome entre o Centro de Identidade do IAM e o IdP externo. Você também pode criar grupos no IdP externo para corresponder aos nomes dos grupos padrão no AWS Control Tower. Quando você atribui usuários a esses grupos, esses usuários terão acesso às contas inscritas.

    Consulte mais informações sobre como trabalhar com o Centro de Identidade do IAM e o AWS Control Tower em O que você deve saber sobre as contas do Centro de Identidade do IAM e o AWS Control Tower.

Considerações para clientes do AWS Config e do AWS CloudTrail

  • A Conta da AWS não pode ter acesso confiável habilitado na conta gerencial da organização para o AWS Config. Consulte informações sobre como desabilitar o acesso confiável na documentação do AWS Organizations sobre como habilitar ou desabilitar o acesso confiável.

  • Se tem um gravador do AWS Config, canal de entrega ou configuração de agregação existente em qualquer conta existente que planeja inscrever no AWS Control Tower, você deve modificar ou remover essas configurações antes de começar a inscrever as contas, depois que a zona de pouso estiver configurada. Essa pré-verificação não se aplica à conta de gerenciamento do AWS Control Tower durante o lançamento da zona de pouso. Para obter mais informações, consulte Inscrever contas que tenham recursos do AWS Config existentes.

  • Se estiver executando workloads efêmeras por meio de contas no AWS Control Tower, você poderá observar um aumento nos custos associados ao AWS Config. Entre em contato com o representante da sua conta da AWS para solicitar informações mais específicas de como gerenciar esses custos.

  • Quando você inscreve uma conta no AWS Control Tower, ela é administrada pela trilha do AWS CloudTrail da organização do AWS Control Tower. Se você já tiver uma implantação de uma trilha do CloudTrail na conta, poderá ver cobranças duplicadas, a menos que exclua a trilha existente da conta antes de inscrevê-la no AWS Control Tower. Consulte informações sobre trilhas no nível da organização e o AWS Control Tower em Preços.

nota

Durante o lançamento, os endpoints do AWS Security Token Service (STS) devem ser ativados na conta de gerenciamento para todas as regiões administradas pelo AWS Control Tower. Caso contrário, a execução pode falhar no meio do processo de configuração.