Riepilogo Prerequisiti e limitazioni Architecture Tools (Strumenti)Epiche risoluzione dei problemi Risorse correlate

Esegui la migrazione di un account AWS membro da a AWS Organizations AWS Control Tower

Rodolfo Junior Cerrada, Amazon Web Services

Riepilogo

Questo modello descrive come migrare Account AWS da AWS Organizations un account membro a un account di gestione verso. AWS Control Tower Registrando l'account AWS Control Tower, puoi sfruttare i controlli e le funzionalità preventivi e investigativi che semplificano la governance dell'account. Potresti anche voler migrare il tuo account membro se il tuo account di gestione AWS Organizations è stato compromesso e desideri trasferire gli account membro in una nuova organizzazione governata da. AWS Control TowerAWS Control Tower

AWS Control Tower fornisce un framework che combina e integra le funzionalità di molti altri Servizi AWS AWS Organizations, tra cui e garantisce conformità e governance coerenti in tutto l'ambiente multi-account. Con AWS Control Tower, puoi seguire una serie di regole e definizioni prescritte che estendono le funzionalità di. AWS Organizations Ad esempio, è possibile utilizzare i controlli per garantire che i registri di sicurezza e le necessarie autorizzazioni di accesso tra account vengano creati e non modificati.

Prerequisiti e limitazioni

Prerequisiti

Un attivo Account AWS
AWS Control Tower configurato nell'organizzazione di destinazione in AWS Organizations (per istruzioni, consulta Configurazione nella AWS Control Tower documentazione)
Credenziali di amministratore per AWS Control Tower (membro del AWSControlTowerAdminsgruppo)
Credenziali di amministratore per la fonte Account AWS

Limitazioni

L'account di gestione di origine in AWS Organizations deve essere diverso dall'account di gestione di destinazione in AWS Control Tower.

Versioni del prodotto

AWS Control Tower versione 2.3 (febbraio 2020) o successiva (vedi note di rilascio)

Architecture

Il diagramma seguente illustra il processo di migrazione e l'architettura di riferimento. Questo modello migra il Account AWS dall'organizzazione di origine a un'organizzazione di destinazione governata da. AWS Control Tower

Processo di registrazione di AWS Control Tower per un account AWS migrato a un'altra organizzazione e trasferito in un'unità organizzativa registrata.

Il processo di registrazione consiste nei seguenti passaggi:

L'organizzazione di destinazione invia un invito affinché l'account entri a far parte dell'organizzazione.
L'account accetta l'invito e diventa membro dell'organizzazione target.
L'account viene registrato AWS Control Tower e trasferito in un'unità organizzativa (OU) registrata. (Ti consigliamo di controllare la AWS Control Tower dashboard per confermare l'iscrizione.) A questo punto, tutti i controlli abilitati nell'unità organizzativa registrata hanno effetto.

Tools (Strumenti)

Servizi AWS

AWS Organizationsè un servizio di gestione degli account che consente di consolidare più account Account AWS in un'unica entità (un'organizzazione) da creare e gestire centralmente.
AWS Control Towerintegra le funzionalità di altri servizi, tra cui, e AWS Organizations AWS IAM Identity Center AWS Service Catalog, per aiutarvi a far rispettare e gestire le regole di governance per la sicurezza, le operazioni e la conformità su larga scala in tutte le organizzazioni e gli account del. Cloud AWS

Epiche

Operazione	Description	Competenze richieste
Accedi a AWS Control Tower.	Accedi alla AWS Control Tower console come amministratore. Attualmente, non esiste un modo diretto per spostare un uomo Account AWS da un'organizzazione di origine a un'organizzazione in un'unità organizzativa governata da AWS Control Tower. Tuttavia, è possibile estendere la AWS Control Tower governance a un'organizzazione esistente Account AWS quando la si registra in un'unità organizzativa già governata da AWS Control Tower. Ecco perché è necessario accedere a AWS Control Tower questa fase.	Amministratore di AWS Control Tower
Invita l'account membro.	Accedi alla AWS Organizations console e vai alla Account AWSpagina. Nella pagina Aggiungi una Account AWS pagina, scegli Invita un esistente Account AWS. Completa le informazioni sull'account, incluso il numero di account a 12 cifre (senza trattini) e la descrizione e i tag opzionali, quindi scegli Invia invito. Importante Verifica che il trasferimento dell'account non influisca sulle applicazioni o sulla connettività di rete. Questa azione invia un'e-mail di invito con un link all'account del membro. Quando l'amministratore dell'account segue il link e accetta l'invito, l'account del membro viene visualizzato nella Account AWSpagina. Per ulteriori informazioni, consulta Gestire gli inviti all'account nella AWS Organizations documentazione.	Amministratore di AWS Control Tower
Testa applicazioni e connettività.	Quando l'account del membro è stato registrato nella nuova organizzazione, viene visualizzato nell'unità organizzativa all'interno di una cartella root. Viene inoltre visualizzato nella AWS Control Tower console, contrassegnato come non registrato negli account, perché non è ancora stato registrato nell'unità organizzativa registrata. AWS Control Tower Verificare quanto segue: Controlla la AWS Control Tower dashboard per vedere se ci sono violazioni del guardrail. Controlla la connettività di rete (VPN o AWS Direct Connect) per assicurarti che non sia stata influenzata dal trasferimento. (Proprietari delle applicazioni) Testa le applicazioni associate a questo account per verificare che funzionino come previsto e che le dipendenze non siano state influenzate dal trasferimento dell'account.	Amministratore AWS Control Tower, amministratore dell'account membro, proprietari delle applicazioni

Operazione

Description

Competenze richieste

Accedi a AWS Control Tower.

Accedi alla AWS Control Tower console come amministratore.

Attualmente, non esiste un modo diretto per spostare un uomo Account AWS da un'organizzazione di origine a un'organizzazione in un'unità organizzativa governata da AWS Control Tower. Tuttavia, è possibile estendere la AWS Control Tower governance a un'organizzazione esistente Account AWS quando la si registra in un'unità organizzativa già governata da AWS Control Tower. Ecco perché è necessario accedere a AWS Control Tower questa fase.

Amministratore di AWS Control Tower

Invita l'account membro.

Accedi alla AWS Organizations console e vai alla Account AWSpagina.
Nella pagina Aggiungi una Account AWS pagina, scegli Invita un esistente Account AWS.
Completa le informazioni sull'account, incluso il numero di account a 12 cifre (senza trattini) e la descrizione e i tag opzionali, quindi scegli Invia invito.

Importante

Verifica che il trasferimento dell'account non influisca sulle applicazioni o sulla connettività di rete.

Questa azione invia un'e-mail di invito con un link all'account del membro. Quando l'amministratore dell'account segue il link e accetta l'invito, l'account del membro viene visualizzato nella Account AWSpagina. Per ulteriori informazioni, consulta Gestire gli inviti all'account nella AWS Organizations documentazione.

Amministratore di AWS Control Tower

Testa applicazioni e connettività.

Quando l'account del membro è stato registrato nella nuova organizzazione, viene visualizzato nell'unità organizzativa all'interno di una cartella root. Viene inoltre visualizzato nella AWS Control Tower console, contrassegnato come non registrato negli account, perché non è ancora stato registrato nell'unità organizzativa registrata. AWS Control Tower

Verificare quanto segue:

Controlla la AWS Control Tower dashboard per vedere se ci sono violazioni del guardrail.
Controlla la connettività di rete (VPN o AWS Direct Connect) per assicurarti che non sia stata influenzata dal trasferimento.
(Proprietari delle applicazioni) Testa le applicazioni associate a questo account per verificare che funzionino come previsto e che le dipendenze non siano state influenzate dal trasferimento dell'account.

Amministratore AWS Control Tower, amministratore dell'account membro, proprietari delle applicazioni

Operazione	Description	Competenze richieste
Rivedi i controlli e correggi eventuali violazioni.	Rivedi i controlli definiti nell'unità organizzativa di destinazione, in particolare i controlli preventivi, e correggi eventuali violazioni. Una serie di controlli preventivi obbligatori sono abilitati di default quando configuri la AWS Control Tower landing zone. Questi non possono essere disabilitati. È necessario rivedere questi controlli obbligatori e correggere l'account del membro (manualmente o utilizzando uno script) prima di registrare l'account. Nota I controlli preventivi mantengono gli account AWS Control Tower registrati conformi e prevengono le violazioni delle politiche. Qualsiasi violazione dei controlli preventivi potrebbe influire sull'iscrizione. Le violazioni del controllo investigativo vengono visualizzate nella AWS Control Tower dashboard, se rilevate, dopo l'avvenuta registrazione. Non influiscono sul processo di registrazione. Per ulteriori informazioni, consulta Informazioni sui controlli nella AWS Control Tower documentazione.	Amministratore di AWS Control Tower, amministratore dell'account dei membri
Verifica la presenza di problemi di connettività dopo aver corretto le violazioni di controllo.	In alcuni casi, potrebbe essere necessario chiudere porte specifiche o disabilitare servizi per correggere le violazioni di controllo. Assicurati che le applicazioni che utilizzano tali porte e servizi vengano corrette prima di registrare l'account.	Proprietario dell'applicazione

Operazione

Description

Competenze richieste

Rivedi i controlli e correggi eventuali violazioni.

Rivedi i controlli definiti nell'unità organizzativa di destinazione, in particolare i controlli preventivi, e correggi eventuali violazioni.

Una serie di controlli preventivi obbligatori sono abilitati di default quando configuri la AWS Control Tower landing zone. Questi non possono essere disabilitati. È necessario rivedere questi controlli obbligatori e correggere l'account del membro (manualmente o utilizzando uno script) prima di registrare l'account.

Nota

I controlli preventivi mantengono gli account AWS Control Tower registrati conformi e prevengono le violazioni delle politiche. Qualsiasi violazione dei controlli preventivi potrebbe influire sull'iscrizione. Le violazioni del controllo investigativo vengono visualizzate nella AWS Control Tower dashboard, se rilevate, dopo l'avvenuta registrazione. Non influiscono sul processo di registrazione. Per ulteriori informazioni, consulta Informazioni sui controlli nella AWS Control Tower documentazione.

Amministratore di AWS Control Tower, amministratore dell'account dei membri

Verifica la presenza di problemi di connettività dopo aver corretto le violazioni di controllo.

In alcuni casi, potrebbe essere necessario chiudere porte specifiche o disabilitare servizi per correggere le violazioni di controllo. Assicurati che le applicazioni che utilizzano tali porte e servizi vengano corrette prima di registrare l'account.

Proprietario dell'applicazione

Operazione	Description	Competenze richieste
Accedi a AWS Control Tower.	Accedi alla console AWS Control Tower. Utilizza credenziali di accesso con autorizzazioni amministrative per. AWS Control Tower Non utilizzare le credenziali dell'utente root (account di gestione) per registrare un account. AWS Organizations Verrà visualizzato un messaggio di errore.	Amministratore di AWS Control Tower
Registra l'account.	Dalla pagina Account Factory in AWS Control Tower, scegli Registra account. Inserisci i dettagli, tra cui l'indirizzo e-mail associato all'account che desideri registrare, il nome visualizzato in cui verrà visualizzato AWS Control Tower, l'indirizzo e-mail di IAM Identity Center, il nome e cognome del proprietario dell'account e l'unità organizzativa in cui desideri registrare l'account. L'indirizzo e-mail di IAM Identity Center è l'indirizzo e-mail utente preferito. Puoi utilizzare lo stesso indirizzo e-mail dell'account. Scegli Enroll account (Registra account). Per ulteriori informazioni, consulta Informazioni sulla registrazione degli account esistenti nella AWS Control Tower documentazione.	Amministratore di AWS Control Tower

Operazione	Description	Competenze richieste
Verifica l'account.	Da AWS Control Tower, scegli Account. L'account che hai appena registrato ha lo stato iniziale di Iscrizione. Una volta completata l'iscrizione, lo stato cambia in Registrato.	Amministratore di AWS Control Tower, amministratore dell'account dei membri
Verifica la presenza di violazioni di controllo.	I controlli definiti nell'unità organizzativa verranno applicati automaticamente all'account membro registrato. Monitora la AWS Control Tower dashboard per rilevare eventuali violazioni e correggile di conseguenza. Per ulteriori informazioni, consulta Informazioni sui controlli nella AWS Control Tower documentazione.	Amministratore di AWS Control Tower, amministratore dell'account dei membri

risoluzione dei problemi

Problema	Soluzione
Riceverai il messaggio di errore: Si è verificato un errore sconosciuto. Riprova più tardi o contatta l' AWS assistenza.	Questo errore si verifica quando si utilizzano le credenziali dell'utente root (account di gestione) AWS Control Tower per registrare un nuovo account. AWS Service Catalog non riesce a mappare il portafoglio o il prodotto Account Factory all'utente root, il che genera il messaggio di errore. Per correggere questo errore, utilizza credenziali utente (amministratore) non root con accesso completo per registrare il nuovo account. Per ulteriori informazioni su come assegnare l'accesso amministrativo a un utente amministrativo, consulta Guida introduttiva nella documentazione di IAM Identity Center.
La pagina AWS Control Tower Attività mostra un'azione Get Catastrophic Drift.	Questa azione riflette un controllo della situazione del servizio e non indica alcun problema con la configurazione. AWS Control Tower Nessuna operazione richiesta.

Problema

Soluzione

Riceverai il messaggio di errore: Si è verificato un errore sconosciuto. Riprova più tardi o contatta l' AWS assistenza.

Questo errore si verifica quando si utilizzano le credenziali dell'utente root (account di gestione) AWS Control Tower per registrare un nuovo account. AWS Service Catalog non riesce a mappare il portafoglio o il prodotto Account Factory all'utente root, il che genera il messaggio di errore. Per correggere questo errore, utilizza credenziali utente (amministratore) non root con accesso completo per registrare il nuovo account. Per ulteriori informazioni su come assegnare l'accesso amministrativo a un utente amministrativo, consulta Guida introduttiva nella documentazione di IAM Identity Center.

La pagina AWS Control Tower Attività mostra un'azione Get Catastrophic Drift.

Questa azione riflette un controllo della situazione del servizio e non indica alcun problema con la configurazione. AWS Control Tower Nessuna operazione richiesta.

Risorse correlate

Documentazione

Terminologia e concetti (documentazione)AWS Organizations
Che cos'è AWS Control Tower? (AWS Control Tower documentazione)
Rimuovere un account membro da un'organizzazione (AWS Organizations documentazione)
Configurazione (AWS Control Tower documentazione)

Tutorial e video

AWS Control Tower workshop (workshop autogestito)
Che cos'è? AWS Control Tower (video)
Assegnazione di ruoli agli utenti in AWS Control Tower (video)

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Strategia multi-account

Imposta avvisi per la chiusura programmatica degli account in AWS Organizations