Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Migrer un compte AWS membre de AWS Organizations vers AWS Control Tower
*Rodolfo Junior Cerrada, Amazon Web Services*
## Résumé
Ce modèle décrit comment migrer un compte Compte AWS de AWS Organizations membre régi par un compte de gestion vers AWS Control Tower. En inscrivant le compte AWS Control Tower, vous pouvez bénéficier de contrôles et de fonctionnalités de prévention et de détection qui rationalisent la gouvernance de votre compte. Vous souhaiterez peut-être également migrer votre compte membre si votre compte de gestion AWS Organizations a été compromis et si vous souhaitez déplacer les comptes membres vers une nouvelle organisation régie par AWS Control TowerAWS Control Tower.
AWS Control Tower fournit un cadre qui combine et intègre les fonctionnalités de plusieurs autres Services AWS, notamment AWS Organizations, et garantit une conformité et une gouvernance cohérentes dans l'ensemble de votre environnement multi-comptes. Avec AWS Control Tower, vous pouvez suivre un ensemble de règles et de définitions prescrites qui étendent les fonctionnalités de AWS Organizations. Par exemple, vous pouvez utiliser des contrôles pour vous assurer que les journaux de sécurité et les autorisations d'accès inter-comptes nécessaires sont créés, et non modifiés.
## Conditions préalables et limitations
**Conditions préalables**
+ Un actif Compte AWS
+ AWS Control Tower configurer dans votre organisation cible dans AWS Organizations (pour obtenir des instructions, voir [Configuration](https://docs.aws.amazon.com/controltower/latest/userguide/setting-up.html) dans la AWS Control Tower documentation)
+ Informations d'identification d'administrateur pour AWS Control Tower (membre du **AWSControlTowerAdmins**groupe)
+ Informations d'identification de l'administrateur pour la source Compte AWS
**Limites**
+ Le compte de gestion source dans AWS Organizations doit être différent du compte de gestion cible dans AWS Control Tower.
**Versions du produit**
+ AWS Control Tower version 2.3 (février 2020) ou ultérieure (voir les [notes de publication](https://docs.aws.amazon.com/controltower/latest/userguide/release-notes.html))
## Architecture
Le schéma suivant illustre le processus de migration et l'architecture de référence. Ce modèle fait migrer Compte AWS l'organisation source vers une organisation cible régie par AWS Control Tower.
Le processus d'inscription comprend les étapes suivantes :
1. L'organisation cible envoie une invitation pour que le compte rejoigne l'organisation.
1. Le compte accepte l'invitation et devient membre de l'organisation cible.
1. Le compte est inscrit AWS Control Tower et transféré vers une unité organisationnelle (UO) enregistrée. (Nous vous recommandons de consulter le AWS Control Tower tableau de bord pour confirmer l'inscription.) À ce stade, toutes les commandes activées dans l'unité d'organisation enregistrée prennent effet.
## Outils
**Services AWS**
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)est un service de gestion de comptes qui vous permet de regrouper plusieurs comptes Comptes AWS en une seule entité (une *organisation*) que vous créez et gérez de manière centralisée.
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)intègre les fonctionnalités d'autres services, notamment, et AWS Organizations AWS IAM Identity Center AWS Service Catalog, pour vous aider à appliquer et à gérer les règles de gouvernance en matière de sécurité, d'exploitation et de conformité à grande échelle dans toutes vos organisations et comptes du AWS Cloud.
## Épopées
### Invitez le compte à rejoindre la nouvelle organisation avec AWS Control Tower
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Connectez-vous à AWS Control Tower. | Connectez-vous à la AWS Control Tower console en tant qu'administrateur.
À l'heure actuelle, il n'existe aucun moyen direct Compte AWS de déplacer une organisation source vers une organisation dans une unité d'organisation régie par AWS Control Tower. Cependant, vous pouvez étendre AWS Control Tower la gouvernance à une entité existante Compte AWS lorsque vous l'inscrivez dans une unité d'organisation déjà régie par AWS Control Tower. C'est pourquoi vous devez vous connecter AWS Control Tower à cette étape. | Administrateur de la tour de contrôle AWS |
| Invitez le compte du membre. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/migrate-an-aws-member-account-from-aws-organizations-to-aws-control-tower.html)Vérifiez qu'aucune application ou connexion réseau ne sera affectée par le transfert de compte.Cette action envoie un e-mail d'invitation contenant un lien vers le compte du membre. Lorsque l'administrateur du compte suit le lien et accepte l'invitation, le compte du membre apparaît **Comptes AWS**sur la page. Pour plus d'informations, consultez [la section Gestion des invitations à un compte](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html) dans la AWS Organizations documentation. | Administrateur de la tour de contrôle AWS |
| Testez les applications et la connectivité. | Lorsque le compte du membre a été enregistré dans la nouvelle organisation, il apparaît dans l'unité d'organisation au sein d'une racine. Il apparaît également dans la [AWS Control Tower console](https://console.aws.amazon.com/controltower), marqué comme non inscrit dans les comptes, car il n'a pas encore été inscrit dans l'unité d'organisation AWS Control Tower enregistrée.
Vérifiez les paramètres suivants :[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/migrate-an-aws-member-account-from-aws-organizations-to-aws-control-tower.html) | Administrateur AWS Control Tower, administrateur du compte membre, propriétaires de l'application |
### Préparez le compte pour l'inscription
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Passez en revue les contrôles et corrigez les éventuelles violations. | Passez en revue les contrôles définis dans l'unité d'organisation cible, en particulier les contrôles préventifs, et corrigez les violations éventuelles.
Un certain nombre de [contrôles préventifs obligatoires](https://docs.aws.amazon.com/controltower/latest/controlreference/preventive-controls.html) sont activés par défaut lorsque vous configurez votre zone de AWS Control Tower landing zone. Ils ne peuvent pas être désactivés. Vous devez passer en revue ces contrôles obligatoires et corriger le compte du membre (manuellement ou à l'aide d'un script) avant d'enregistrer le compte.Les contrôles préventifs garantissent la conformité des comptes AWS Control Tower enregistrés et préviennent les violations des politiques. Toute violation des contrôles préventifs peut affecter l'inscription. Les violations du Detective Control apparaissent dans le AWS Control Tower tableau de bord, si elles sont détectées, après une inscription réussie. Ils n'ont aucune incidence sur le processus d'inscription. Pour plus d'informations, consultez la section [À propos des contrôles](https://docs.aws.amazon.com/controltower/latest/controlreference/controls.html) dans la AWS Control Tower documentation. | Administrateur AWS Control Tower, administrateur du compte membre |
| Vérifiez les problèmes de connectivité après avoir corrigé les violations de contrôle. | Dans certains cas, vous devrez peut-être fermer des ports spécifiques ou désactiver des services pour corriger les violations de contrôle. Assurez-vous que les applications qui utilisent ces ports et services sont corrigées avant d'inscrire le compte. | Propriétaire de l'application |
### Enregistrez le compte dans AWS Control Tower
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Connectez-vous à AWS Control Tower. | Connectez-vous à la [console AWS Control Tower](https://console.aws.amazon.com/controltower). Utilisez des informations de connexion dotées d'autorisations administratives pour AWS Control Tower. N'utilisez pas les informations d'identification de l'utilisateur root (compte de gestion) pour créer un AWS Organizations compte. Cela affichera un message d'erreur. | Administrateur de la tour de contrôle AWS |
| Enregistrez le compte. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/migrate-an-aws-member-account-from-aws-organizations-to-aws-control-tower.html)Pour plus d'informations, consultez la section [À propos de l'inscription de comptes existants](https://docs.aws.amazon.com/controltower/latest/userguide/enroll-account.html) dans la AWS Control Tower documentation. | Administrateur de la tour de contrôle AWS |
### Vérifiez le compte après l'inscription
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Vérifiez le compte. | Dans AWS Control Tower, choisissez **Comptes**. L'état initial du compte que vous venez de créer est « **Inscription ».** Lorsque l'inscription est terminée, son état passe à **Inscrit**. | Administrateur AWS Control Tower, administrateur du compte membre |
| Vérifiez les violations des contrôles. | Les contrôles définis dans l'UO s'appliqueront automatiquement au compte du membre inscrit. Surveillez le AWS Control Tower tableau de bord pour détecter les violations et corrigez-les en conséquence. Pour plus d'informations, consultez la section [À propos des contrôles](https://docs.aws.amazon.com/controltower/latest/controlreference/controls.html) dans la AWS Control Tower documentation. | Administrateur AWS Control Tower, administrateur du compte membre |
## Résolution des problèmes
| Problème | Solution |
| --- | --- |
| Vous recevez le message d'erreur suivant : **Une erreur inconnue s'est produite. Réessayez ultérieurement ou contactez le AWS Support.** | Cette erreur se produit lorsque vous utilisez les informations d'identification de l'utilisateur root (compte de gestion) AWS Control Tower pour inscrire un nouveau compte. AWS Service Catalog Impossible de mapper le portefeuille ou le produit Account Factory à l'utilisateur root, ce qui entraîne le message d'erreur. Pour corriger cette erreur, utilisez des informations d'identification d'utilisateur (administrateur) à accès complet (administrateur) autres que root pour inscrire le nouveau compte. Pour plus d'informations sur la façon d'attribuer un accès administratif à un utilisateur administratif, consultez [Getting started](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) dans la documentation d'IAM Identity Center. |
| La page AWS Control Tower **Activités** affiche une action **Get Catastrophic Drift**. | Cette action reflète une vérification à la dérive du service et n'indique aucun problème de AWS Control Tower configuration. Aucune action n’est requise. |
## Ressources connexes
**Documentation**
+ [Terminologie et concepts](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) (AWS Organizations documentation)
+ [Qu'est-ce que c'est AWS Control Tower ?](https://docs.aws.amazon.com/controltower/latest/userguide/) (AWS Control Tower documentation)
+ [Supprimer un compte membre d'une organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html#leave-without-all-info) (AWS Organizations documentation)
+ [Configuration](https://docs.aws.amazon.com/controltower/latest/userguide/setting-up.html#setting-up-iam) (AWS Control Tower documentation)
**Tutoriels et vidéos**
+ [AWS Control Tower atelier (atelier](https://catalog.workshops.aws/control-tower/) à rythme libre)
+ [Qu'est-ce que c'est AWS Control Tower ?](https://www.youtube.com/watch?v=daLvEb44d5Q) (vidéo)
+ [Approvisionnement des utilisateurs AWS Control Tower](https://www.youtube.com/watch?v=y_n9xN5mg1g) (vidéo)