Ringkasan Prasyarat dan batasan Arsitektur Alat Epik Pemecahan masalah Sumber daya terkait

Migrasi akun AWS anggota dari ke AWS Organizations AWS Control Tower

Rodolfo Jr. Cerrada, Amazon Web Services

Ringkasan

Pola ini menjelaskan cara memigrasikan Akun AWS dari AWS Organizations, di mana itu adalah akun anggota yang diatur oleh akun manajemen, ke. AWS Control Tower Dengan mendaftarkan akun AWS Control Tower, Anda dapat memanfaatkan kontrol dan fitur preventif dan detektif yang merampingkan tata kelola akun Anda. Anda mungkin juga ingin memigrasikan akun anggota Anda jika akun manajemen AWS Organizations Anda telah disusupi, dan Anda ingin memindahkan akun anggota ke organisasi baru yang diatur oleh. AWS Control TowerAWS Control Tower

AWS Control Tower menyediakan kerangka kerja yang menggabungkan dan mengintegrasikan kemampuan beberapa lainnya Layanan AWS, termasuk AWS Organizations, dan memastikan kepatuhan dan tata kelola yang konsisten di seluruh lingkungan multi-akun Anda. Dengan AWS Control Tower, Anda dapat mengikuti seperangkat aturan dan definisi yang ditentukan yang memperluas kemampuan AWS Organizations. Misalnya, Anda dapat menggunakan kontrol untuk memastikan bahwa log keamanan dan izin akses lintas akun yang diperlukan dibuat, dan tidak diubah.

Prasyarat dan batasan

Prasyarat

Aktif Akun AWS
AWS Control Tower disiapkan di organisasi target Anda di AWS Organizations (untuk petunjuk, lihat Menyiapkan dalam AWS Control Tower dokumentasi)
Kredensi administrator untuk AWS Control Tower (anggota grup) AWSControlTowerAdmins
Kredensi administrator untuk sumbernya Akun AWS

Batasan

Akun manajemen sumber di AWS Organizations harus berbeda dari akun manajemen target di AWS Control Tower.

Versi produk

AWS Control Tower versi 2.3 (Februari 2020) atau lebih baru (lihat catatan rilis)

Arsitektur

Diagram berikut menggambarkan proses migrasi dan arsitektur referensi. Pola ini memigrasikan Akun AWS dari organisasi sumber ke organisasi target yang diatur oleh. AWS Control Tower

Proses pendaftaran AWS Control Tower untuk akun AWS yang dimigrasikan ke organisasi lain dan dipindahkan ke OU terdaftar.

Proses pendaftaran terdiri dari langkah-langkah berikut:

Organisasi target mengirimkan undangan untuk akun untuk bergabung dengan organisasi.
Akun menerima undangan dan menjadi anggota organisasi target.
Akun terdaftar AWS Control Tower dan dipindahkan ke unit organisasi terdaftar (OU). (Kami menyarankan Anda memeriksa AWS Control Tower dasbor untuk mengonfirmasi pendaftaran.) Pada titik ini, semua kontrol yang diaktifkan di OU terdaftar berlaku.

Alat

Layanan AWS

AWS Organizationsadalah layanan manajemen akun yang memungkinkan Anda untuk mengkonsolidasikan beberapa Akun AWS ke dalam satu entitas (organisasi) yang Anda buat dan kelola secara terpusat.
AWS Control Towermengintegrasikan kemampuan layanan lain, termasuk,, dan AWS Organizations AWS IAM Identity Center AWS Service Catalog, untuk membantu Anda menegakkan dan mengelola aturan tata kelola untuk keamanan, operasi, dan kepatuhan dalam skala besar di semua organisasi dan akun Anda di. AWS Cloud

Epik

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Masuk ke AWS Control Tower.	Masuk ke AWS Control Tower konsol sebagai administrator. Saat ini, tidak ada cara langsung untuk memindahkan Akun AWS dari organisasi sumber ke organisasi dalam OU yang diatur oleh AWS Control Tower. Namun, Anda dapat memperluas AWS Control Tower tata kelola ke yang sudah ada Akun AWS saat Anda mendaftarkannya ke OU yang sudah diatur oleh. AWS Control Tower Itu sebabnya Anda harus masuk AWS Control Tower untuk langkah ini.	Administrator AWS Control Tower
Undang akun anggota.	Masuk ke AWS Organizations konsol, dan arahkan ke Akun AWShalaman. Pada Tambahkan Akun AWS halaman, pilih Undang yang sudah ada Akun AWS. Lengkapi informasi akun, termasuk nomor akun 12 digit (tanpa tanda hubung) dan deskripsi dan tag opsional, lalu pilih Kirim undangan. penting Verifikasi bahwa tidak ada aplikasi atau konektivitas jaringan yang akan terpengaruh oleh transfer akun. Tindakan ini mengirimkan email undangan dengan tautan ke akun anggota. Ketika administrator akun mengikuti tautan dan menerima undangan, akun anggota muncul di Akun AWShalaman. Untuk informasi selengkapnya, lihat Mengelola undangan akun dalam dokumentasi. AWS Organizations	Administrator AWS Control Tower
Uji aplikasi dan konektivitas.	Ketika akun anggota telah terdaftar ke organisasi baru, itu muncul di OU dalam root. Itu juga muncul di AWS Control Tower konsol, ditandai sebagai tidak terdaftar di akun, karena belum terdaftar di OU terdaftar. AWS Control Tower Verifikasi hal berikut: Periksa AWS Control Tower dasbor untuk melihat apakah ada pelanggaran pagar pembatas. Periksa konektivitas jaringan (VPN atau AWS Direct Connect) untuk memastikan tidak terpengaruh oleh transfer. (Pemilik aplikasi) Uji aplikasi yang terkait dengan akun ini untuk memverifikasi bahwa mereka berjalan seperti yang diharapkan, dan dependensi tidak terpengaruh oleh transfer akun.	Administrator AWS Control Tower, Administrator akun anggota, Pemilik aplikasi

Tugas

Deskripsi

Keterampilan yang dibutuhkan

Masuk ke AWS Control Tower.

Masuk ke AWS Control Tower konsol sebagai administrator.

Saat ini, tidak ada cara langsung untuk memindahkan Akun AWS dari organisasi sumber ke organisasi dalam OU yang diatur oleh AWS Control Tower. Namun, Anda dapat memperluas AWS Control Tower tata kelola ke yang sudah ada Akun AWS saat Anda mendaftarkannya ke OU yang sudah diatur oleh. AWS Control Tower Itu sebabnya Anda harus masuk AWS Control Tower untuk langkah ini.

Administrator AWS Control Tower

Undang akun anggota.

Masuk ke AWS Organizations konsol, dan arahkan ke Akun AWShalaman.
Pada Tambahkan Akun AWS halaman, pilih Undang yang sudah ada Akun AWS.
Lengkapi informasi akun, termasuk nomor akun 12 digit (tanpa tanda hubung) dan deskripsi dan tag opsional, lalu pilih Kirim undangan.

penting

Verifikasi bahwa tidak ada aplikasi atau konektivitas jaringan yang akan terpengaruh oleh transfer akun.

Tindakan ini mengirimkan email undangan dengan tautan ke akun anggota. Ketika administrator akun mengikuti tautan dan menerima undangan, akun anggota muncul di Akun AWShalaman. Untuk informasi selengkapnya, lihat Mengelola undangan akun dalam dokumentasi. AWS Organizations

Administrator AWS Control Tower

Uji aplikasi dan konektivitas.

Ketika akun anggota telah terdaftar ke organisasi baru, itu muncul di OU dalam root. Itu juga muncul di AWS Control Tower konsol, ditandai sebagai tidak terdaftar di akun, karena belum terdaftar di OU terdaftar. AWS Control Tower

Verifikasi hal berikut:

Periksa AWS Control Tower dasbor untuk melihat apakah ada pelanggaran pagar pembatas.
Periksa konektivitas jaringan (VPN atau AWS Direct Connect) untuk memastikan tidak terpengaruh oleh transfer.
(Pemilik aplikasi) Uji aplikasi yang terkait dengan akun ini untuk memverifikasi bahwa mereka berjalan seperti yang diharapkan, dan dependensi tidak terpengaruh oleh transfer akun.

Administrator AWS Control Tower, Administrator akun anggota, Pemilik aplikasi

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Tinjau kontrol dan perbaiki pelanggaran apa pun.	Tinjau kontrol yang ditentukan dalam OU target, terutama kontrol pencegahan, dan perbaiki pelanggaran apa pun. Sejumlah kontrol preventif wajib diaktifkan secara default saat Anda mengatur AWS Control Tower landing zone. Ini tidak dapat dinonaktifkan. Anda harus meninjau kontrol wajib ini dan memperbaiki akun anggota (secara manual atau dengan menggunakan skrip) sebelum Anda mendaftarkan akun. catatan Kontrol preventif menjaga agar akun AWS Control Tower terdaftar tetap patuh dan mencegah pelanggaran kebijakan. Setiap pelanggaran kontrol pencegahan dapat mempengaruhi pendaftaran. Pelanggaran kontrol detektif muncul di AWS Control Tower dasbor, jika terdeteksi, setelah pendaftaran berhasil. Mereka tidak mempengaruhi proses pendaftaran. Untuk informasi selengkapnya, lihat Tentang kontrol dalam AWS Control Tower dokumentasi.	Administrator AWS Control Tower, Administrator akun anggota
Periksa masalah konektivitas setelah memperbaiki pelanggaran kontrol.	Dalam beberapa kasus, Anda mungkin harus menutup port tertentu atau menonaktifkan layanan untuk memperbaiki pelanggaran kontrol. Pastikan aplikasi yang menggunakan port dan layanan tersebut diperbaiki sebelum Anda mendaftarkan akun.	Pemilik aplikasi

Tugas

Deskripsi

Keterampilan yang dibutuhkan

Tinjau kontrol dan perbaiki pelanggaran apa pun.

Tinjau kontrol yang ditentukan dalam OU target, terutama kontrol pencegahan, dan perbaiki pelanggaran apa pun.

Sejumlah kontrol preventif wajib diaktifkan secara default saat Anda mengatur AWS Control Tower landing zone. Ini tidak dapat dinonaktifkan. Anda harus meninjau kontrol wajib ini dan memperbaiki akun anggota (secara manual atau dengan menggunakan skrip) sebelum Anda mendaftarkan akun.

catatan

Kontrol preventif menjaga agar akun AWS Control Tower terdaftar tetap patuh dan mencegah pelanggaran kebijakan. Setiap pelanggaran kontrol pencegahan dapat mempengaruhi pendaftaran. Pelanggaran kontrol detektif muncul di AWS Control Tower dasbor, jika terdeteksi, setelah pendaftaran berhasil. Mereka tidak mempengaruhi proses pendaftaran. Untuk informasi selengkapnya, lihat Tentang kontrol dalam AWS Control Tower dokumentasi.

Administrator AWS Control Tower, Administrator akun anggota

Periksa masalah konektivitas setelah memperbaiki pelanggaran kontrol.

Dalam beberapa kasus, Anda mungkin harus menutup port tertentu atau menonaktifkan layanan untuk memperbaiki pelanggaran kontrol. Pastikan aplikasi yang menggunakan port dan layanan tersebut diperbaiki sebelum Anda mendaftarkan akun.

Pemilik aplikasi

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Masuk ke AWS Control Tower.	Masuk ke konsol AWS Control Tower tersebut. Gunakan kredenal masuk yang memiliki izin administratif untuk. AWS Control Tower Jangan gunakan kredensi pengguna root (akun manajemen) untuk mendaftarkan akun. AWS Organizations Ini akan menampilkan pesan kesalahan.	Administrator AWS Control Tower
Daftarkan akun.	Dari halaman Account Factory di AWS Control Tower, pilih Daftarkan akun. Isi detailnya, termasuk alamat email yang terkait dengan akun yang ingin Anda daftarkan, nama tampilan yang akan muncul AWS Control Tower, alamat email Pusat Identitas IAM, nama depan dan belakang pemilik akun, dan OU tempat Anda ingin mendaftarkan akun. Alamat email IAM Identity Center adalah alamat email pengguna pilihan Anda. Anda dapat menggunakan alamat email yang sama dengan email akun. Pilih Daftarkan akun. Untuk informasi selengkapnya, lihat Tentang mendaftarkan akun yang ada di AWS Control Tower dokumentasi.	Administrator AWS Control Tower

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Verifikasi akun.	Dari AWS Control Tower, pilih Akun. Akun yang baru saja Anda daftarkan memiliki status awal Mendaftar. Ketika pendaftaran selesai, statusnya berubah menjadi Terdaftar.	Administrator AWS Control Tower, Administrator akun anggota
Periksa pelanggaran kontrol.	Kontrol yang ditentukan dalam OU akan secara otomatis berlaku untuk akun anggota terdaftar. Pantau AWS Control Tower dasbor untuk pelanggaran dan perbaiki sesuai dengan itu. Untuk informasi selengkapnya, lihat Tentang kontrol dalam AWS Control Tower dokumentasi.	Administrator AWS Control Tower, Administrator akun anggota

Pemecahan masalah

Isu	Solusi
Anda menerima pesan galat: Terjadi kesalahan yang tidak diketahui. Coba lagi nanti, atau hubungi AWS Support.	Kesalahan ini terjadi ketika Anda menggunakan kredensi pengguna root (akun manajemen) AWS Control Tower untuk mendaftarkan akun baru. AWS Service Catalog tidak dapat memetakan Portofolio Account Factory atau produk ke pengguna root, yang menghasilkan pesan kesalahan. Untuk memperbaiki kesalahan ini, gunakan kredensil pengguna (administrator) non-root, akses penuh untuk mendaftarkan akun baru. Untuk informasi selengkapnya tentang cara menetapkan akses administratif ke pengguna administratif, lihat Memulai dokumentasi Pusat Identitas IAM.
Halaman AWS Control Tower Aktivitas menampilkan aksi Get Catastrophic Drift.	Tindakan ini mencerminkan pemeriksaan drift layanan dan tidak menunjukkan masalah apa pun dengan AWS Control Tower pengaturan. Tidak ada tindakan yang diperlukan.

Isu

Solusi

Anda menerima pesan galat: Terjadi kesalahan yang tidak diketahui. Coba lagi nanti, atau hubungi AWS Support.

Kesalahan ini terjadi ketika Anda menggunakan kredensi pengguna root (akun manajemen) AWS Control Tower untuk mendaftarkan akun baru. AWS Service Catalog tidak dapat memetakan Portofolio Account Factory atau produk ke pengguna root, yang menghasilkan pesan kesalahan. Untuk memperbaiki kesalahan ini, gunakan kredensil pengguna (administrator) non-root, akses penuh untuk mendaftarkan akun baru. Untuk informasi selengkapnya tentang cara menetapkan akses administratif ke pengguna administratif, lihat Memulai dokumentasi Pusat Identitas IAM.

Halaman AWS Control Tower Aktivitas menampilkan aksi Get Catastrophic Drift.

Tindakan ini mencerminkan pemeriksaan drift layanan dan tidak menunjukkan masalah apa pun dengan AWS Control Tower pengaturan. Tidak ada tindakan yang diperlukan.

Sumber daya terkait

Dokumentasi

Terminologi dan konsep (AWS Organizations dokumentasi)
Apa itu AWS Control Tower? (AWS Control Tower dokumentasi)
Menghapus akun anggota dari organisasi (AWS Organizations dokumentasi)
Menyiapkan (AWS Control Tower dokumentasi)

Tutorial dan video

AWS Control Tower lokakarya (bengkel mandiri)
Apa itu AWS Control Tower? (video)
Penyediaan Pengguna di AWS Control Tower(video)

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Strategi multi-akun

Menyiapkan peringatan untuk penutupan akun terprogram di AWS Organizations