本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将监管范围扩展到现有组织
您可以按照《AWS Control Tower 用户指南》中 Getting Started, Step 2 所述设置登录区(LZ),为现有组织添加 AWS Control Tower 监管。
以下是在现有组织中设置 AWS Control Tower 登录区时的预期情况。
-
每个 AWS Organizations 组织可以有一个着陆区。
-
AWS Control Tower 使用您现有 AWS Organizations 组织的管理账户作为其管理账户。不需要新的管理账户。
-
AWS Control Tower 会在注册的 OU 中设置两个新账户:审计账户和日志记录账户。
-
您组织的服务限制必须允许创建这两个附加账户。
-
在您启动登录区或注册 OU 后,AWS Control Tower 控件将自动应用于该 OU 中的所有注册账户。
-
您可以将其他现有 AWS 账户注册到受 AWS Control Tower 管理的 OU 中,以便控制适用于这些账户。
-
您可以 OUs 在 AWS Control Tower 中添加更多内容,也可以注册现有 OUs的。
要查看有关登记和注册的其他先决条件,请参阅 Getting Started with AWS Control Tower。
以下详细介绍 AWS Control Tower 控制如何不适用于您在未设置 AWS Control Tower 着陆区的 AWS 组织 OUs 中:
-
在 AWS Control Tower Account Factory 以外创建的新账户不受已注册 OU 的控件约束。
-
在中创建的未在 OUs AWS Control Tower 注册的新账户不受控制约束,除非您专门将这些账户注册到 AWS Control Tower。有关注册账户的更多信息,请参阅 注册现有的 AWS 账户。
-
其他现有组织、现有账户以及您在 AWS Control Tower 之外创建的任何新账户 OUs 或任何账户均不受 AWS Control Tower 控制的约束,除非您单独注册 OU 或注册账户。
有关如何将 AWS Control Tower 应用于现有账户 OUs 和账户的更多信息,请参阅向 AWS Control Tower 注册一个现有组织单位。
有关在现有组织中设置 AWS Control Tower 登录区的过程的概述,请观看下一节中的视频。
注意
在设置过程中,AWS Control Tower 会进行预检查以避免出现常见问题。但是,如果您目前正在使用 AWS 着陆区解决方案 AWS Organizations,请在尝试在组织中启用 AWS Control Tower 之前,请咨询您的 AWS 解决方案架构师,以确定 AWS Control Tower 是否会干扰您当前的着陆区部署。另请参阅 如果账户不符合先决条件,了解有关将账户从一个登录区转移到另一个登录区的信息。
视频:在现有 AWS Organizations中启用登录区
该视频 (7:48) 描述了如何在现有 AWS Organizations 结构中设置和启用 AWS Control Tower 着陆区。为了更好地观看,请选择视频右下角的图标以将其放大为全屏。可以使用字幕。
关于 IAM Identity Center 和现有组织的注意事项
-
如果已经设置 AWS IAM Identity Center (IAM 身份中心),则 AWS Control Tower 主区域必须与 IAM 身份中心区域相同。
-
AWS Control Tower 不会删除现有配置。
-
如果 IAM Identity Center 已启用,并且您正在使用 IAM Identity Center 目录,AWS Control Tower 会添加权限集、组等资源,然后照常进行后续操作。
-
如果设置了另一个目录(外部、AD、托管 AD),AWS Control Tower 不会更改现有配置。有关更多详细信息,请参阅 AWS IAM Identity Center (IAM 身份中心)客户的注意事项。
访问其他 AWS 服务
将您的组织引入 AWS Control Tower 监管后,您仍然可以通过 AWS Organizations AWS Organizations 控制台和访问任何可用的 AWS 服务 APIs。有关更多信息,请参阅 相关 AWS 服务。
