将监管范围扩展到现有组织
您可以按照《AWS Control Tower 用户指南》中 Getting Started, Step 2 所述设置登录区(LZ),为现有组织添加 AWS Control Tower 监管。
以下是在现有组织中设置 AWS Control Tower 登录区时的预期情况。
-
每个 AWS Organizations 组织可以有一个登录区。
-
AWS Control Tower 使用您现有 AWS Organizations 组织的管理账户作为其管理账户。不需要新的管理账户。
-
AWS Control Tower 会在注册的 OU 中设置两个新账户:审计账户和日志记录账户。
-
您组织的服务限制必须允许创建这两个附加账户。
-
在您启动登录区或注册 OU 后,AWS Control Tower 控件将自动应用于该 OU 中的所有注册账户。
-
您可以将其他现有 AWS 账户注册到受 AWS Control Tower 监管的 OU 中,以便控件应用于这些账户。
-
您可以在 AWS Control Tower 中添加更多 OU,也可以注册现有 OU。
要查看有关登记和注册的其他先决条件,请参阅 Getting Started with AWS Control Tower。
以下是关于 AWS Control Tower 控件不适用于未设置 AWS Control Tower 登录区的 AWS Organizations 中的 OU 的更多详细信息:
-
在 AWS Control Tower Account Factory 以外创建的新账户不受已注册 OU 的控件约束。
-
在未向 AWS Control Tower 注册的 OU 中创建的新账户不受控件的约束,除非您专门将这些账户注册到 AWS Control Tower。有关注册账户的更多信息,请参阅 关于注册现有账户。
-
其他现有组织、现有账户、任何新的 OU 或在 AWS Control Tower 之外创建的任何账户均不受 AWS Control Tower 控件的约束,除非您单独注册 OU 或账户。
有关如何将 AWS Control Tower 应用于现有 OU 和账户的更多信息,请参阅 向 AWS Control Tower 注册现有组织单元。
有关在现有组织中设置 AWS Control Tower 登录区的过程的概述,请观看下一节中的视频。
注意
在设置过程中,AWS Control Tower 会进行预检查以避免出现常见问题。但是,如果您目前正在为 AWS Organizations 使用 AWS 登录区解决方案,那么在尝试在组织中启用 AWS Control Tower 之前,请先咨询您的 AWS 解决方案架构师,以确定 AWS Control Tower 是否会干扰当前的登录区部署。另请参阅 如果账户不符合先决条件,了解有关将账户从一个登录区转移到另一个登录区的信息。
视频:在现有 AWS Organizations 中启用登录区
本视频(7:48)介绍了如何在现有 AWS Organizations 结构中设置和启用 AWS Control Tower 登录区。为了更好地观看,请选择视频右下角的图标以将其放大为全屏。可以使用字幕。
关于 IAM Identity Center 和现有组织的注意事项
-
如果已设置 AWS IAM Identity Center(IAM Identity Center),AWS Control Tower 主区域必须与 IAM Identity Center 区域相同。
-
AWS Control Tower 不会删除现有配置。
-
如果 IAM Identity Center 已启用,并且您正在使用 IAM Identity Center 目录,AWS Control Tower 会添加权限集、组等资源,然后照常进行后续操作。
-
如果设置了另一个目录(外部、AD、托管 AD),AWS Control Tower 不会更改现有配置。有关更多详细信息,请参阅 AWS IAM Identity Center(IAM Identity Center)客户的注意事项。
访问其他 AWS 服务
将您的组织纳入 AWS Control Tower 监管后,您仍然可以通过 AWS Organizations 控制台和 API 访问 AWS Organizations 提供的任何 AWS 服务。有关更多信息,请参阅 相关 AWS 服务。
