OU 迁移和验证

在我们所举的跨国制药公司的示例中，云平台工程团队和变更管理团队共同制定了迁移计划和时间表。在计划过程中，对 AWS 账户进行了审查，并根据业务影响和重要性进行了排序。

新的 OU 结构与现有的 OU 结构并行部署，以便分阶段实施新策略和逐步迁移。我们创建了带有子 OU 的新的空 OU，并且为这些子 OU 分配了 AWS Organizations 策略和 AWS Control Tower 控件。

这些 AWS Organizations 策略是通过在新结构上应用所需的策略来手动迁移的。我们使用手动抽查来验证 AWS Organizations 策略，并使用自动化机制来验证 AWS Control Tower 控件。只有在这些检查成功之后，AWS 账户才被移动到新的 OU 中。

账户迁移是半自动的，并采用了阶段性或批量处理的方式。最初的迁移以那些被认为不太重要的 AWS 账户为目标，每次迁移使用五个 AWS 账户作为一个批次。迁移批次不超过 10 个账户。在进行账户迁移时，审核人员和测试人员使用 AWS Control Tower 控制台来确认这些账户已成功移动到正确的 OU，并且还对 AWS CloudTrail 日志进行监控以查找错误。审核人员还对 AWS Service Catalog 和 AWS Control Tower 控制台进行了检查，以查看是否存在任何偏差或处于受污染或未知状态的账户。

对 OU 内账户布局的更改并未影响资源的连接性或可访问性。没有报告发生生产应用程序中断情况。