As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # AWS Organizations orientação O AWS Control Tower está intimamente associado AWS Organizations a. Aqui estão algumas orientações específicas sobre como elas funcionam melhor juntas para proteger seu AWS ambiente. + Você pode encontrar orientações sobre as melhores práticas para proteger a segurança da sua conta de gerenciamento do AWS Control Tower e das contas dos membros na AWS Organizations documentação. + [Best practices for the management account](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_best-practices_mgmt-acct.html) + [Best practices for member accounts](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_member-acct.html) + Não atualize as políticas de controle de serviço existentes (SCPs) anexadas a uma OU registrada no AWS Control Tower. Isso pode fazer com que os controles entrem em um estado desconhecido, o que exigirá que você redefina a zona de pouso ou registre novamente sua UO no AWS Control Tower. Em vez disso, você pode usar AWS Organizations para criar novos SCPs e anexá-los ao que o AWS Control Tower criou em OUs vez de editar. SCPs + Mover contas individuais, já inscritas, para o AWS Control Tower, de fora de uma UO registrada, causa um desvio que deve ser resolvido. Consulte [Tipos de desvio de governança](governance-drift.md). + Se você usa AWS Organizations para criar, convidar ou mover contas dentro de uma organização registrada na AWS Control Tower, essas contas não são inscritas pela AWS Control Tower e essas alterações não são registradas. Se for necessário acessar essas contas por meio de SSO, consulte [Acesso à conta-membro](https://aws.amazon.com//premiumsupport/knowledge-center/organizations-member-account-access/). + Se você usa AWS Organizations para mover uma OU para uma organização criada pela AWS Control Tower, a OU externa não é registrada pela AWS Control Tower. + O AWS Control Tower lida com a filtragem de permissões de forma diferente do que AWS Organizations faz. Se suas contas forem provisionadas com a fábrica de contas do AWS Control Tower, os usuários finais poderão ver os nomes e os pais de todas OUs no console do AWS Control Tower, mesmo que não tenham permissão para recuperar esses nomes e pais diretamente. AWS Organizations + O AWS Control Tower não é compatível com permissões mistas em organizações, como permissão para visualizar a UO principal de uma UO, mas não para ver os nomes de UO. Por esse motivo, espera-se que os administradores do AWS Control Tower tenham permissões completas. + O AWS Organizations `FullAWSAccess` SCP deve ser aplicado e não deve ser mesclado com outro. SCPs A alteração nessa SCP não é relatada como um desvio. No entanto, algumas mudanças poderão afetar a funcionalidade do AWS Control Tower de maneiras imprevisíveis, se o acesso a determinados recursos for negado. Por exemplo, se o SCP for desanexado ou modificado, uma conta poderá perder o acesso a um AWS Config gravador ou criar uma lacuna no registro. CloudTrail + Não use a AWS Organizations `DisableAWSServiceAccess` API para desativar o acesso do serviço AWS Control Tower à organização em que você configurou sua landing zone. Se você fizer isso, certos recursos de detecção de desvios do AWS Control Tower poderão não funcionar adequadamente sem o suporte de mensagens do AWS Organizations. Esses recursos de detecção de desvios ajudam a garantir que o AWS Control Tower possa relatar o status de conformidade de unidades organizacionais, contas e controles em sua organização com precisão. Para obter mais informações, consulte [API\$1DisableAWSServiceAccessa Referência AWS Organizations da API](https://docs.aws.amazon.com//organizations/latest/APIReference/API_DisableAWSServiceAccess.html).