Resumen Requisitos previos y limitaciones Arquitectura Tools (Herramientas)Epics Resolución de problemas Recursos relacionados

Migrar una cuenta de AWS miembro de AWS Organizations a AWS Control Tower

Rodolfo Jr. Cerrada, Amazon Web Services

Resumen

Este patrón describe cómo migrar y Cuenta de AWS desde AWS Organizations, si es una cuenta de miembro regida por una cuenta de administración, a AWS Control Tower. Al inscribir la cuenta AWS Control Tower, puede aprovechar las funciones y los controles preventivos y de detección que simplifican la gestión de la cuenta. Es posible que también desee migrar su cuenta de miembro si su cuenta de administración de AWS Organizations se ha visto comprometida y si quiere mover las cuentas de los miembros a una nueva organización que esté gobernada por AWS Control TowerAWS Control Tower.

AWS Control Tower proporciona un marco que combina e integra las capacidades de varias otras y Servicios de AWS, entre AWS Organizations otras, garantiza un cumplimiento y una gobernanza uniformes en todo su entorno de múltiples cuentas. Con AWS Control Tower, puede seguir un conjunto de reglas y definiciones prescritas que amplían las capacidades de AWS Organizations. Por ejemplo, puede usar controles para garantizar que los registros de seguridad y los permisos de acceso entre cuentas necesarios se creen y no se modifiquen.

Requisitos previos y limitaciones

Requisitos previos

Un activo Cuenta de AWS
AWS Control Tower configurarlo en su organización objetivo en AWS Organizations (para obtener instrucciones, consulte Configuración en la AWS Control Tower documentación)
Credenciales de administrador para AWS Control Tower (miembro del AWSControlTowerAdminsgrupo)
Credenciales de administrador de la fuente Cuenta de AWS

Limitaciones

La cuenta de administración de origen AWS Organizations debe ser diferente de la cuenta de administración de destino de AWS Control Tower.

Versiones de producto

AWS Control Tower versión 2.3 (febrero de 2020) o posterior (consulte las notas de la versión)

Arquitectura

En el diagrama siguiente se ilustra el proceso de migración y la arquitectura de referencia. Este patrón migra Cuenta de AWS de la organización de origen a una organización de destino regida por AWS Control Tower.

Proceso de inscripción en AWS Control Tower para una cuenta de AWS que se migró a otra organización y se trasladó a una UO registrada.

El proceso de inscripción consta de estos pasos:

La organización de destino envía una invitación para unir la cuenta a la organización.
La cuenta acepta la invitación y pasa a ser miembro de la organización de destino.
La cuenta se inscribe en una unidad organizativa (OU) registrada AWS Control Tower y se traslada a ella. (Te recomendamos que consultes el AWS Control Tower panel de control para confirmar la inscripción). En este punto, entran en vigor todos los controles que están habilitados en la unidad organizativa registrada.

Tools (Herramientas)

Servicios de AWS

AWS Organizationses un servicio de administración de cuentas que le permite consolidar varias entidades Cuentas de AWS en una sola entidad (una organización) que puede crear y administrar de forma centralizada.
AWS Control Towerintegra las capacidades de otros servicios AWS Organizations, entre los que se incluyen AWS IAM Identity Center AWS Service Catalog, y, ayudarle a aplicar y gestionar las normas de gobernanza en materia de seguridad, operaciones y cumplimiento a escala en todas sus organizaciones y cuentas del Nube de AWS.

Epics

Tarea	Descripción	Habilidades requeridas
Inicia sesión en AWS Control Tower.	Inicie sesión en la AWS Control Tower consola como administrador. Actualmente, no existe una forma directa de mover y pasar Cuenta de AWS de una organización de origen a una organización de una unidad organizativa regida por AWS Control Tower. Sin embargo, puede extender AWS Control Tower la gobernanza a una existente Cuenta de AWS al inscribirla en una OU que ya esté gobernada por ella AWS Control Tower. Por eso, debe iniciar sesión en AWS Control Tower para realizar este paso.	Administrador de AWS Control Tower
Invitar la cuenta miembro.	Inicia sesión en la AWS Organizations consola y navega hasta la Cuentas de AWSpágina. En la página Añadir una Cuenta de AWS página, selecciona Invitar a una persona existente Cuenta de AWS. Complete la información de la cuenta, incluido el número de cuenta de 12 dígitos (sin guiones), la descripción y las etiquetas opcionales, y seleccione Enviar invitación. importante Compruebe que la transferencia de la cuenta no afectará a ninguna aplicación ni a la conectividad de red. Esta acción envía un correo electrónico de invitación con un enlace a la cuenta de miembro. Cuando el administrador de la cuenta siga el enlace y acepte la invitación, la cuenta del miembro aparecerá en la Cuentas de AWSpágina. Para obtener más información, consulte Administrar las invitaciones de cuentas en la AWS Organizations documentación.	Administrador de AWS Control Tower
Pruebe las aplicaciones y la conectividad.	Cuando la cuenta del miembro se haya registrado en la nueva organización, aparecerá en la OU dentro de una raíz. También aparece en la AWS Control Tower consola, marcada como no inscrita en las cuentas, porque aún no se ha inscrito en la OU AWS Control Tower registrada. Compruebe lo siguiente: Consulta el AWS Control Tower panel de control para ver si hay alguna infracción de las barandillas. Comprueba la conectividad de la red (VPN o AWS Direct Connect) para asegurarte de que no se haya visto afectada por la transferencia. (Propietarios de aplicación) Pruebe las aplicaciones asociadas a esta cuenta para comprobar que se ejecutan según lo previsto, y que la transferencia de la cuenta no ha afectado a las dependencias.	Administrador de AWS Control Tower, administrador de cuentas de miembros, propietarios de aplicación

Tarea

Descripción

Habilidades requeridas

Inicia sesión en AWS Control Tower.

Inicie sesión en la AWS Control Tower consola como administrador.

Actualmente, no existe una forma directa de mover y pasar Cuenta de AWS de una organización de origen a una organización de una unidad organizativa regida por AWS Control Tower. Sin embargo, puede extender AWS Control Tower la gobernanza a una existente Cuenta de AWS al inscribirla en una OU que ya esté gobernada por ella AWS Control Tower. Por eso, debe iniciar sesión en AWS Control Tower para realizar este paso.

Administrador de AWS Control Tower

Invitar la cuenta miembro.

Inicia sesión en la AWS Organizations consola y navega hasta la Cuentas de AWSpágina.
En la página Añadir una Cuenta de AWS página, selecciona Invitar a una persona existente Cuenta de AWS.
Complete la información de la cuenta, incluido el número de cuenta de 12 dígitos (sin guiones), la descripción y las etiquetas opcionales, y seleccione Enviar invitación.

importante

Compruebe que la transferencia de la cuenta no afectará a ninguna aplicación ni a la conectividad de red.

Esta acción envía un correo electrónico de invitación con un enlace a la cuenta de miembro. Cuando el administrador de la cuenta siga el enlace y acepte la invitación, la cuenta del miembro aparecerá en la Cuentas de AWSpágina. Para obtener más información, consulte Administrar las invitaciones de cuentas en la AWS Organizations documentación.

Administrador de AWS Control Tower

Pruebe las aplicaciones y la conectividad.

Cuando la cuenta del miembro se haya registrado en la nueva organización, aparecerá en la OU dentro de una raíz. También aparece en la AWS Control Tower consola, marcada como no inscrita en las cuentas, porque aún no se ha inscrito en la OU AWS Control Tower registrada.

Compruebe lo siguiente:

Consulta el AWS Control Tower panel de control para ver si hay alguna infracción de las barandillas.
Comprueba la conectividad de la red (VPN o AWS Direct Connect) para asegurarte de que no se haya visto afectada por la transferencia.
(Propietarios de aplicación) Pruebe las aplicaciones asociadas a esta cuenta para comprobar que se ejecutan según lo previsto, y que la transferencia de la cuenta no ha afectado a las dependencias.

Administrador de AWS Control Tower, administrador de cuentas de miembros, propietarios de aplicación

Tarea	Descripción	Habilidades requeridas
Revisa los controles y corrige cualquier infracción.	Revise los controles definidos en la unidad organizativa objetivo, especialmente los controles preventivos, y corrija cualquier infracción. Una serie de controles preventivos obligatorios están activados por defecto cuando configuras tu AWS Control Tower landing zone. Estas barreras no se pueden desactivar. Debe revisar estos controles obligatorios y corregir la cuenta del miembro (manualmente o mediante un script) antes de inscribirla. nota Los controles preventivos mantienen las cuentas AWS Control Tower registradas en conformidad y previenen el incumplimiento de las políticas. Cualquier infracción de los controles preventivos podría afectar a la inscripción. Las infracciones de control de los Detectives aparecen en el AWS Control Tower panel de control, si se detectan, después de una inscripción correcta. No afectarán al proceso de inscripción. Para obtener más información, consulte Acerca de los controles en la AWS Control Tower documentación.	Administrador de AWS Control Tower, administrador de cuentas de miembros
Compruebe si hay problemas de conectividad después de corregir las infracciones de control.	En algunos casos, es posible que tengas que cerrar puertos específicos o deshabilitar servicios para corregir las infracciones de control. Asegúrese de corregir las aplicaciones que usan esos puertos y servicios antes de inscribir la cuenta.	Propietario de la aplicación

Tarea

Descripción

Habilidades requeridas

Revisa los controles y corrige cualquier infracción.

Revise los controles definidos en la unidad organizativa objetivo, especialmente los controles preventivos, y corrija cualquier infracción.

Una serie de controles preventivos obligatorios están activados por defecto cuando configuras tu AWS Control Tower landing zone. Estas barreras no se pueden desactivar. Debe revisar estos controles obligatorios y corregir la cuenta del miembro (manualmente o mediante un script) antes de inscribirla.

nota

Los controles preventivos mantienen las cuentas AWS Control Tower registradas en conformidad y previenen el incumplimiento de las políticas. Cualquier infracción de los controles preventivos podría afectar a la inscripción. Las infracciones de control de los Detectives aparecen en el AWS Control Tower panel de control, si se detectan, después de una inscripción correcta. No afectarán al proceso de inscripción. Para obtener más información, consulte Acerca de los controles en la AWS Control Tower documentación.

Administrador de AWS Control Tower, administrador de cuentas de miembros

Compruebe si hay problemas de conectividad después de corregir las infracciones de control.

En algunos casos, es posible que tengas que cerrar puertos específicos o deshabilitar servicios para corregir las infracciones de control. Asegúrese de corregir las aplicaciones que usan esos puertos y servicios antes de inscribir la cuenta.

Propietario de la aplicación

Tarea	Descripción	Habilidades requeridas
Inicie sesión en AWS Control Tower.	Inicie sesión en la consola de AWS Control Tower. Utilice credenciales de inicio de sesión para AWS Control Tower las que tenga permisos administrativos. No utilice las credenciales del usuario raíz (cuenta de administración) para registrar una AWS Organizations cuenta. Aparecerá un mensaje de error.	Administrador de AWS Control Tower
Inscriba la cuenta.	En la página Account Factory AWS Control Tower, selecciona Inscribir cuenta. Rellene los detalles, incluida la dirección de correo electrónico asociada a la cuenta que desea inscribir, el nombre visible que aparecerá AWS Control Tower, la dirección de correo electrónico del centro de identidad de IAM, el nombre y apellidos del propietario de la cuenta y la OU en la que desea inscribir la cuenta. La dirección de correo electrónico de IAM Identity Center es su dirección de correo electrónico de usuario preferida. Puede usar la misma dirección de correo electrónico que la cuenta. Seleccione Enroll account (Inscribir cuenta). Para obtener más información, consulte Acerca de la inscripción de cuentas existentes en la AWS Control Tower documentación.	Administrador de AWS Control Tower

Tarea	Descripción	Habilidades requeridas
Verifique la cuenta.	Desde AWS Control Tower, elija Cuentas. La cuenta que acaba de inscribir tendrá el estado inicial Inscribiendo. Cuando se complete la inscripción, su estado cambiará a Inscrito.	Administrador de AWS Control Tower, administrador de cuentas de miembros
Compruebe si hay infracciones de control.	Los controles definidos en la OU se aplicarán automáticamente a la cuenta del miembro inscrito. Supervise el AWS Control Tower panel de control para detectar infracciones y corríjalas en consecuencia. Para obtener más información, consulte Acerca de los controles en la AWS Control Tower documentación.	Administrador de AWS Control Tower, administrador de cuentas de miembros

Resolución de problemas

Problema	Solución
Recibe el mensaje de error: Se ha producido un error desconocido. Vuelva a intentarlo más tarde o póngase en contacto con AWS Support.	Este error se produce al utilizar las credenciales de usuario raíz (cuenta de administración) AWS Control Tower para registrar una cuenta nueva. AWS Service Catalog no puede asignar la cartera o el producto de Account Factory al usuario raíz, lo que genera un mensaje de error. Para corregir este error, introduzca credenciales de usuario (administrador) que no sean raíz y tengan acceso completo para inscribir la nueva cuenta. Para obtener más información sobre cómo asignar el acceso administrativo a un usuario administrativo, consulte Primeros pasos en la documentación del Centro de identidades de IAM.
La página de AWS Control Tower actividades muestra la acción Get Catastrofic Drift.	Esta acción refleja una revisión del servicio y no indica ningún problema con la AWS Control Tower configuración. No hay que hacer nada más.

Problema

Solución

Recibe el mensaje de error: Se ha producido un error desconocido. Vuelva a intentarlo más tarde o póngase en contacto con AWS Support.

Este error se produce al utilizar las credenciales de usuario raíz (cuenta de administración) AWS Control Tower para registrar una cuenta nueva. AWS Service Catalog no puede asignar la cartera o el producto de Account Factory al usuario raíz, lo que genera un mensaje de error. Para corregir este error, introduzca credenciales de usuario (administrador) que no sean raíz y tengan acceso completo para inscribir la nueva cuenta. Para obtener más información sobre cómo asignar el acceso administrativo a un usuario administrativo, consulte Primeros pasos en la documentación del Centro de identidades de IAM.

La página de AWS Control Tower actividades muestra la acción Get Catastrofic Drift.

Esta acción refleja una revisión del servicio y no indica ningún problema con la AWS Control Tower configuración. No hay que hacer nada más.

Recursos relacionados

Documentación

Terminología y conceptos (AWS Organizations documentación)
¿Qué es AWS Control Tower? (AWS Control Tower documentación)
Eliminar una cuenta de miembro de una organización (AWS Organizations documentación)
Configuración (AWS Control Tower documentación)

Tutoriales y videos

AWS Control Tower taller (taller a su propio ritmo)
¿Qué es? AWS Control Tower (vídeo)
Aprovisionamiento de usuarios en AWS Control Tower (vídeo)

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Estrategia de varias cuentas

Configure alertas para el cierre programático de cuentas en AWS Organizations