Zusammenfassung Voraussetzungen und Einschränkungen Architektur Tools Epen Fehlerbehebung Zugehörige Ressourcen

Migrieren Sie ein AWS Mitgliedskonto von AWS Organizations zu AWS Control Tower

Rodolfo Jr. Cerrada, Amazon Web Services

Zusammenfassung

Dieses Muster beschreibt, wie ein Konto AWS-Konto von einem Mitgliedskonto AWS Organizations, das von einem Verwaltungskonto verwaltet wird, zu AWS Control Tower migrieren ist. Wenn Sie das Konto registrieren AWS Control Tower, können Sie die Vorteile präventiver und detektiver Kontrollen und Funktionen nutzen, die Ihre Kontoverwaltung optimieren. Möglicherweise möchten Sie auch Ihr Mitgliedskonto migrieren, wenn Ihr AWS Organizations Organizations-Managementkonto kompromittiert wurde und Sie Mitgliedskonten auf eine neue Organisation verschieben möchten, die verwaltet wird von AWS Control TowerAWS Control Tower.

AWS Control Tower bietet ein Framework, das die Funktionen mehrerer anderer Funktionen kombiniert und integriert AWS-Services AWS Organizations, einschließlich und gewährleistet eine konsistente Compliance und Governance in Ihrer Umgebung mit mehreren Konten. Mit AWS Control Tower können Sie eine Reihe von vorgeschriebenen Regeln und Definitionen befolgen, die den Funktionsumfang von AWS Organizations erweitern. Sie können beispielsweise mithilfe von Kontrollen sicherstellen, dass Sicherheitsprotokolle und die erforderlichen kontoübergreifenden Zugriffsberechtigungen erstellt und nicht geändert werden.

Voraussetzungen und Einschränkungen

Voraussetzungen

Ein aktiver AWS-Konto
AWS Control Tower eingerichtet in Ihrer Zielorganisation in AWS Organizations (Anweisungen finden Sie in der AWS Control Tower Dokumentation unter Einrichtung)
Administratoranmeldedaten für AWS Control Tower (Mitglied der AWSControlTowerAdminsGruppe)
Administratoranmeldedaten für die Quelle AWS-Konto

Einschränkungen

Das Quellverwaltungskonto in AWS Organizations muss sich vom Zielverwaltungskonto in unterscheiden AWS Control Tower.

Produktversionen

AWS Control Tower Version 2.3 (Februar 2020) oder höher (siehe Versionshinweise)

Architektur

Das folgende Diagramm veranschaulicht den Migrationsprozess und die Referenzarchitektur. Dieses Muster migriert die AWS-Konto von der Quellorganisation zu einer Zielorganisation, die verwaltet wird von AWS Control Tower.

AWS Control Tower Tower-Registrierungsprozess für ein AWS-Konto, das zu einer anderen Organisation migriert und zu einer registrierten Organisationseinheit verschoben wurde.

Der Registrierungsprozess besteht aus den folgenden Schritten:

Die Zielorganisation sendet eine Einladung für das Konto, der Organisation beizutreten.
Das Konto akzeptiert die Einladung und wird Mitglied der Zielorganisation.
Das Konto ist registriert AWS Control Tower und in eine registrierte Organisationseinheit (OU) verschoben. (Wir empfehlen, dass Sie das AWS Control Tower Dashboard überprüfen, um die Registrierung zu bestätigen.) Zu diesem Zeitpunkt werden alle Steuerelemente wirksam, die in der registrierten Organisationseinheit aktiviert sind.

Tools

AWS-Services

AWS Organizationsist ein Kontoverwaltungsdienst, mit dem Sie mehrere Konten zu einer AWS-Konten einzigen Einheit (einer Organisation) zusammenfassen können, die Sie erstellen und zentral verwalten.
AWS Control Towerintegriert die Funktionen anderer Dienste, einschließlich AWS Organizations, und AWS IAM Identity Center AWS Service Catalog, um Sie bei der Durchsetzung und Verwaltung von Governance-Regeln für Sicherheit, Betrieb und Compliance in großem Umfang für alle Ihre Organisationen und Konten in der AWS Cloud

Epen

Aufgabe	Description	Erforderliche Fähigkeiten
Melden Sie sich an bei AWS Control Tower.	Melden Sie sich als Administrator bei der AWS Control Tower Konsole an. Derzeit gibt es keine direkte Möglichkeit, eine Person AWS-Konto von einer Quellorganisation zu einer Organisation in einer Organisationseinheit zu verschieben, die von verwaltet wird AWS Control Tower. Sie können die AWS Control Tower Verwaltung jedoch auf eine bestehende Organisation ausdehnen, indem Sie AWS-Konto sie in eine Organisationseinheit aufnehmen, die bereits von AWS Control Tower verwaltet wird. Aus diesem Grund müssen Sie sich AWS Control Tower für diesen Schritt anmelden.	AWS Control Tower Tower-Administrator
Laden Sie das Mitgliedskonto ein.	Melden Sie sich bei der AWS Organizations Konsole an und navigieren Sie zu der AWS-KontenSeite. Wählen Sie unter AWS-Konto Seite hinzufügen die Option Bestehende Seite einladen aus AWS-Konto. Vervollständigen Sie die Kontoinformationen, einschließlich der 12-stelligen Kontonummer (ohne Bindestriche) und der optionalen Beschreibung und der Tags, und wählen Sie dann Einladung senden aus. Wichtig Stellen Sie sicher, dass die Kontoübertragung keine Auswirkungen auf Anwendungen oder Netzwerkkonnektivität hat. Bei dieser Aktion wird eine Einladungs-E-Mail mit einem Link zum Mitgliedskonto gesendet. Wenn der Kontoadministrator dem Link folgt und die Einladung annimmt, wird das Mitgliedskonto auf der AWS-KontenSeite angezeigt. Weitere Informationen finden Sie in der AWS Organizations Dokumentation unter Kontoeinladungen verwalten.	AWS Control Tower Tower-Administrator
Testen Sie Anwendungen und Konnektivität.	Wenn das Mitgliedskonto in der neuen Organisation registriert wurde, wird es in der Organisationseinheit als Stammkonto angezeigt. Es wird auch in der AWS Control Tower Konsole angezeigt und als nicht in Konten registriert gekennzeichnet, da es noch nicht in der AWS Control Tower registrierten Organisationseinheit registriert wurde. Überprüfen Sie Folgendes: Prüfen Sie im AWS Control Tower Dashboard, ob Verstöße gegen die Leitplanken vorliegen. Überprüfen Sie die Netzwerkkonnektivität (VPN oder AWS Direct Connect), um sicherzustellen, dass sie durch die Übertragung nicht beeinträchtigt wurde. (Anwendungsbesitzer) Testen Sie die Anwendungen, die diesem Konto zugeordnet sind, um sicherzustellen, dass sie erwartungsgemäß ausgeführt werden und dass die Abhängigkeiten durch die Kontoübertragung nicht beeinträchtigt wurden.	AWS Control Tower Tower-Administrator, Administrator des Mitgliedskontos, Anwendungsbesitzer

Aufgabe

Description

Erforderliche Fähigkeiten

Melden Sie sich an bei AWS Control Tower.

Melden Sie sich als Administrator bei der AWS Control Tower Konsole an.

Derzeit gibt es keine direkte Möglichkeit, eine Person AWS-Konto von einer Quellorganisation zu einer Organisation in einer Organisationseinheit zu verschieben, die von verwaltet wird AWS Control Tower. Sie können die AWS Control Tower Verwaltung jedoch auf eine bestehende Organisation ausdehnen, indem Sie AWS-Konto sie in eine Organisationseinheit aufnehmen, die bereits von AWS Control Tower verwaltet wird. Aus diesem Grund müssen Sie sich AWS Control Tower für diesen Schritt anmelden.

AWS Control Tower Tower-Administrator

Laden Sie das Mitgliedskonto ein.

Melden Sie sich bei der AWS Organizations Konsole an und navigieren Sie zu der AWS-KontenSeite.
Wählen Sie unter AWS-Konto Seite hinzufügen die Option Bestehende Seite einladen aus AWS-Konto.
Vervollständigen Sie die Kontoinformationen, einschließlich der 12-stelligen Kontonummer (ohne Bindestriche) und der optionalen Beschreibung und der Tags, und wählen Sie dann Einladung senden aus.

Wichtig

Stellen Sie sicher, dass die Kontoübertragung keine Auswirkungen auf Anwendungen oder Netzwerkkonnektivität hat.

Bei dieser Aktion wird eine Einladungs-E-Mail mit einem Link zum Mitgliedskonto gesendet. Wenn der Kontoadministrator dem Link folgt und die Einladung annimmt, wird das Mitgliedskonto auf der AWS-KontenSeite angezeigt. Weitere Informationen finden Sie in der AWS Organizations Dokumentation unter Kontoeinladungen verwalten.

AWS Control Tower Tower-Administrator

Testen Sie Anwendungen und Konnektivität.

Wenn das Mitgliedskonto in der neuen Organisation registriert wurde, wird es in der Organisationseinheit als Stammkonto angezeigt. Es wird auch in der AWS Control Tower Konsole angezeigt und als nicht in Konten registriert gekennzeichnet, da es noch nicht in der AWS Control Tower registrierten Organisationseinheit registriert wurde.

Überprüfen Sie Folgendes:

Prüfen Sie im AWS Control Tower Dashboard, ob Verstöße gegen die Leitplanken vorliegen.
Überprüfen Sie die Netzwerkkonnektivität (VPN oder AWS Direct Connect), um sicherzustellen, dass sie durch die Übertragung nicht beeinträchtigt wurde.
(Anwendungsbesitzer) Testen Sie die Anwendungen, die diesem Konto zugeordnet sind, um sicherzustellen, dass sie erwartungsgemäß ausgeführt werden und dass die Abhängigkeiten durch die Kontoübertragung nicht beeinträchtigt wurden.

AWS Control Tower Tower-Administrator, Administrator des Mitgliedskontos, Anwendungsbesitzer

Aufgabe	Description	Erforderliche Fähigkeiten
Überprüfen Sie die Kontrollen und beheben Sie etwaige Verstöße.	Überprüfen Sie die in der Ziel-Organisationseinheit definierten Kontrollen, insbesondere die präventiven Kontrollen, und beheben Sie etwaige Verstöße. Eine Reihe von obligatorischen, präventiven Kontrollen sind standardmäßig aktiviert, wenn Sie Ihre AWS Control Tower landing zone einrichten. Diese können nicht deaktiviert werden. Sie müssen diese obligatorischen Kontrollen überprüfen und das Mitgliedskonto korrigieren (manuell oder mithilfe eines Skripts), bevor Sie das Konto registrieren. Anmerkung Präventive Kontrollen sorgen dafür, dass AWS Control Tower registrierte Konten die Vorschriften einhalten und Richtlinienverstöße verhindern. Jeder Verstoß gegen die präventiven Kontrollen kann sich auf die Registrierung auswirken. Detective Control-Verstöße werden nach erfolgreicher Registrierung im AWS Control Tower Dashboard angezeigt, sofern sie erkannt werden. Sie haben keinen Einfluss auf den Registrierungsprozess. Weitere Informationen finden Sie in der Dokumentation unter Über Steuerelemente. AWS Control Tower	AWS Control Tower Tower-Administrator, Administrator des Mitgliedskontos
Suchen Sie nach der Behebung von Kontrollverstößen nach Verbindungsproblemen.	In einigen Fällen müssen Sie möglicherweise bestimmte Ports schließen oder Dienste deaktivieren, um Kontrollverstöße zu beheben. Stellen Sie sicher, dass Anwendungen, die diese Ports und Dienste verwenden, repariert wurden, bevor Sie das Konto registrieren.	Besitzer der Anwendung

Aufgabe

Description

Erforderliche Fähigkeiten

Überprüfen Sie die Kontrollen und beheben Sie etwaige Verstöße.

Überprüfen Sie die in der Ziel-Organisationseinheit definierten Kontrollen, insbesondere die präventiven Kontrollen, und beheben Sie etwaige Verstöße.

Eine Reihe von obligatorischen, präventiven Kontrollen sind standardmäßig aktiviert, wenn Sie Ihre AWS Control Tower landing zone einrichten. Diese können nicht deaktiviert werden. Sie müssen diese obligatorischen Kontrollen überprüfen und das Mitgliedskonto korrigieren (manuell oder mithilfe eines Skripts), bevor Sie das Konto registrieren.

Anmerkung

Präventive Kontrollen sorgen dafür, dass AWS Control Tower registrierte Konten die Vorschriften einhalten und Richtlinienverstöße verhindern. Jeder Verstoß gegen die präventiven Kontrollen kann sich auf die Registrierung auswirken. Detective Control-Verstöße werden nach erfolgreicher Registrierung im AWS Control Tower Dashboard angezeigt, sofern sie erkannt werden. Sie haben keinen Einfluss auf den Registrierungsprozess. Weitere Informationen finden Sie in der Dokumentation unter Über Steuerelemente. AWS Control Tower

AWS Control Tower Tower-Administrator, Administrator des Mitgliedskontos

Suchen Sie nach der Behebung von Kontrollverstößen nach Verbindungsproblemen.

In einigen Fällen müssen Sie möglicherweise bestimmte Ports schließen oder Dienste deaktivieren, um Kontrollverstöße zu beheben. Stellen Sie sicher, dass Anwendungen, die diese Ports und Dienste verwenden, repariert wurden, bevor Sie das Konto registrieren.

Besitzer der Anwendung

Aufgabe	Description	Erforderliche Fähigkeiten
Melden Sie sich an bei AWS Control Tower.	Melden Sie sich bei der AWS Control Tower -Konsole an. Verwenden Sie Anmeldeinformationen mit Administratorberechtigungen für AWS Control Tower. Verwenden Sie nicht die Anmeldeinformationen des Root-Benutzers (Verwaltungskonto), um ein AWS Organizations Konto zu registrieren. Daraufhin wird eine Fehlermeldung angezeigt.	AWS Control Tower Tower-Administrator
Registrieren Sie das Konto.	Wählen Sie auf der Seite Account Factory in AWS Control Tower die Option Konto registrieren aus. Geben Sie die Details ein, einschließlich der E-Mail-Adresse, die mit dem Konto verknüpft ist, das Sie registrieren möchten, des Anzeigenamens, der angezeigt werden soll AWS Control Tower, der E-Mail-Adresse des IAM Identity Center, des Vor- und Nachnamens des Kontoinhabers und der Organisationseinheit, in der Sie das Konto registrieren möchten. Die IAM Identity Center-E-Mail-Adresse ist Ihre bevorzugte Benutzer-E-Mail-Adresse. Sie können dieselbe E-Mail-Adresse wie die Konto-E-Mail verwenden. Wählen Sie Enroll account (Konto anmelden). Weitere Informationen finden Sie in der AWS Control Tower Dokumentation unter Informationen zum Registrieren vorhandener Konten.	AWS Control Tower Tower-Administrator

Aufgabe	Description	Erforderliche Fähigkeiten
Verifizieren Sie das Konto.	Wählen Sie AWS Control Tower unter Konten aus. Das Konto, das Sie gerade registriert haben, hat den Anfangsstatus Registrierung. Wenn die Registrierung abgeschlossen ist, ändert sich der Status in Registriert.	AWS Control Tower Tower-Administrator, Administrator des Mitgliedskontos
Suchen Sie nach Kontrollverstößen.	Die in der Organisationseinheit definierten Kontrollen gelten automatisch für das registrierte Mitgliedskonto. Überwachen Sie das AWS Control Tower Dashboard auf Verstöße und korrigieren Sie sie entsprechend. Weitere Informationen finden Sie in der AWS Control Tower Dokumentation unter Über Steuerelemente.	AWS Control Tower Tower-Administrator, Administrator des Mitgliedskontos

Fehlerbehebung

Problem	Lösung
Sie erhalten die Fehlermeldung: Ein unbekannter Fehler ist aufgetreten. Versuchen Sie es später erneut, oder wenden Sie sich an den AWS Support.	Dieser Fehler tritt auf, wenn Sie Root-Benutzeranmeldeinformationen (Verwaltungskonto) verwenden AWS Control Tower , um ein neues Konto zu registrieren. AWS Service Catalog kann das Account Factory Portfolio oder das Produkt nicht dem Root-Benutzer zuordnen, was zu der Fehlermeldung führt. Um diesen Fehler zu beheben, verwenden Sie bei der Registrierung des neuen Kontos Benutzeranmeldedaten (Administrator) ohne Root-Rechte mit vollem Zugriff. Weitere Informationen dazu, wie Sie einem Administratorbenutzer Administratorzugriff zuweisen, finden Sie unter Erste Schritte in der IAM Identity Center-Dokumentation.
Auf der Seite AWS Control Tower Aktivitäten wird die Aktion Get Catastrophic Drift angezeigt.	Diese Aktion spiegelt eine Drift-Prüfung des Dienstes wider und weist nicht auf Probleme mit der AWS Control Tower Einrichtung hin. Es ist keine Aktion erforderlich.

Problem

Lösung

Sie erhalten die Fehlermeldung: Ein unbekannter Fehler ist aufgetreten. Versuchen Sie es später erneut, oder wenden Sie sich an den AWS Support.

Dieser Fehler tritt auf, wenn Sie Root-Benutzeranmeldeinformationen (Verwaltungskonto) verwenden AWS Control Tower , um ein neues Konto zu registrieren. AWS Service Catalog kann das Account Factory Portfolio oder das Produkt nicht dem Root-Benutzer zuordnen, was zu der Fehlermeldung führt. Um diesen Fehler zu beheben, verwenden Sie bei der Registrierung des neuen Kontos Benutzeranmeldedaten (Administrator) ohne Root-Rechte mit vollem Zugriff. Weitere Informationen dazu, wie Sie einem Administratorbenutzer Administratorzugriff zuweisen, finden Sie unter Erste Schritte in der IAM Identity Center-Dokumentation.

Auf der Seite AWS Control Tower Aktivitäten wird die Aktion Get Catastrophic Drift angezeigt.

Diese Aktion spiegelt eine Drift-Prüfung des Dienstes wider und weist nicht auf Probleme mit der AWS Control Tower Einrichtung hin. Es ist keine Aktion erforderlich.

Zugehörige Ressourcen

Dokumentation

Terminologie und Konzepte (AWS Organizations Dokumentation)
Was ist AWS Control Tower? (AWS Control Tower Dokumentation)
Entfernen eines Mitgliedskontos aus einer Organisation (AWS Organizations Dokumentation)
Einrichtung (AWS Control Tower Dokumentation)

Tutorials und Videos

AWS Control Tower Workshop (Workshop zum Selbststudium)
Was ist? AWS Control Tower (Video)
Bereitstellen von Benutzern in AWS Control Tower (Video)

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Strategie für mehrere Konten

Benachrichtigungen für programmatische Kontoschließungen in AWS Organizations einrichten