Resumo Pré-requisitos e limitações Arquitetura Ferramentas Épicos Solução de problemas Recursos relacionados

Migrar uma conta de AWS membro de para AWS Organizations AWS Control Tower

Rodolfo Jr. Cerrada, Amazon Web Services

Resumo

Esse padrão descreve como migrar uma AWS Organizations, Conta da AWS de onde é uma conta de membro governada por uma conta de gerenciamento. AWS Control Tower Ao cadastrar a conta AWS Control Tower, você pode aproveitar os controles e recursos preventivos e de detetive que simplificam a governança da sua conta. Talvez você também queira migrar sua conta de membro caso sua conta de gerenciamento do AWS Organizations tenha sido comprometida e queira transferir as contas dos membros para uma nova organização que seja governada por. AWS Control TowerAWS Control Tower

AWS Control Tower fornece uma estrutura que combina e integra os recursos de várias outras Serviços da AWS, inclusive AWS Organizations, e garante conformidade e governança consistentes em seu ambiente de várias contas. Com AWS Control Tower, você pode seguir um conjunto de regras e definições prescritas que ampliam os recursos do AWS Organizations. Por exemplo, você pode usar controles para garantir que os registros de segurança e as permissões necessárias de acesso entre contas sejam criados, e não alterados.

Pré-requisitos e limitações

Pré-requisitos

Um ativo Conta da AWS
AWS Control Tower configurado em sua organização-alvo em AWS Organizations (para obter instruções, consulte Configuração na AWS Control Tower documentação)
Credenciais de administrador para AWS Control Tower (membro do AWSControlTowerAdminsgrupo)
Credenciais de administrador para a fonte Conta da AWS

Limitações

A conta de gerenciamento de origem em AWS Organizations deve ser diferente da conta de gerenciamento de destino em AWS Control Tower.

Versões do produto

AWS Control Tower versão 2.3 (fevereiro de 2020) ou posterior (consulte as notas de lançamento)

Arquitetura

O diagrama a seguir ilustra o processo de migração e arquitetura de referência. Esse padrão migra da organização Conta da AWS de origem para uma organização de destino que é governada por. AWS Control Tower

Processo de inscrição no AWS Control Tower para uma conta da AWS que foi migrada para outra organização e movida para uma UO registrada.

O processo de inscrição consiste em três etapas:

A organização de destino envia um convite para que a conta participe da organização.
A conta aceita o convite e se torna membro da organização-alvo.
A conta é registrada AWS Control Tower e movida para uma unidade organizacional (OU) registrada. (Recomendamos que você verifique o AWS Control Tower painel para confirmar a inscrição.) Nesse ponto, todos os controles habilitados na OU registrada entram em vigor.

Ferramentas

Serviços da AWS

AWS Organizationsé um serviço de gerenciamento de contas que permite consolidar várias Contas da AWS em uma única entidade (uma organização) que você cria e gerencia centralmente.
AWS Control Towerintegra os recursos de outros serviços, incluindo AWS Organizations, Centro de Identidade do AWS IAM, e AWS Service Catalog, para ajudá-lo a aplicar e gerenciar regras de governança para segurança, operações e conformidade em grande escala em todas as suas organizações e contas no. Nuvem AWS

Épicos

Tarefa	Description	Habilidades necessárias
Faça login em AWS Control Tower.	Faça login no AWS Control Tower console como administrador. Atualmente, não há uma maneira direta de mover um homem Conta da AWS de uma organização de origem para uma organização em uma OU que seja governada por AWS Control Tower. No entanto, você pode estender a AWS Control Tower governança a uma existente Conta da AWS ao inscrevê-la em uma OU que já seja governada por. AWS Control TowerÉ por isso que você precisa fazer login AWS Control Tower para esta etapa.	Administrador do AWS Control Tower
Convidar a conta-membro.	Faça login no AWS Organizations console e navegue até a Contas da AWSpágina. Na Conta da AWS página Adicionar uma, escolha Convidar um existente Conta da AWS. Preencha as informações da conta, incluindo o número da conta de 12 dígitos (sem traços) e a descrição e as tags opcionais, e escolha Enviar convite. Importante Verifique se nenhuma aplicação ou conectividade de rede será afetada pela transferência da conta. Essa ação envia um e-mail de convite com um link para a conta-membro. Quando o administrador da conta segue o link e aceita o convite, a conta do membro aparece na Contas da AWSpágina. Para obter mais informações, consulte Gerenciamento de convites de conta na AWS Organizations documentação.	Administrador do AWS Control Tower
Teste aplicativos e conectividade.	Quando a conta do membro é registrada na nova organização, ela aparece na OU dentro de uma raiz. Ele também aparece no AWS Control Tower console, marcado como não inscrito em contas, porque ainda não foi inscrito na AWS Control Tower OU registrada. Verifique o seguinte: Verifique o AWS Control Tower painel para ver se há alguma violação da barreira de proteção. Verifique a conectividade de rede (VPN ou AWS Direct Connect) para garantir que ela não tenha sido afetada pela transferência. (Proprietários do aplicativo) Teste os aplicativos associados a essa conta para verificar se eles são executados conforme o esperado e se as dependências não foram afetadas pela transferência da conta.	Administrador do AWS Control Tower, administrador da conta do membro, proprietários de aplicativos

Tarefa

Description

Habilidades necessárias

Faça login em AWS Control Tower.

Faça login no AWS Control Tower console como administrador.

Atualmente, não há uma maneira direta de mover um homem Conta da AWS de uma organização de origem para uma organização em uma OU que seja governada por AWS Control Tower. No entanto, você pode estender a AWS Control Tower governança a uma existente Conta da AWS ao inscrevê-la em uma OU que já seja governada por. AWS Control TowerÉ por isso que você precisa fazer login AWS Control Tower para esta etapa.

Administrador do AWS Control Tower

Convidar a conta-membro.

Faça login no AWS Organizations console e navegue até a Contas da AWSpágina.
Na Conta da AWS página Adicionar uma, escolha Convidar um existente Conta da AWS.
Preencha as informações da conta, incluindo o número da conta de 12 dígitos (sem traços) e a descrição e as tags opcionais, e escolha Enviar convite.

Importante

Verifique se nenhuma aplicação ou conectividade de rede será afetada pela transferência da conta.

Essa ação envia um e-mail de convite com um link para a conta-membro. Quando o administrador da conta segue o link e aceita o convite, a conta do membro aparece na Contas da AWSpágina. Para obter mais informações, consulte Gerenciamento de convites de conta na AWS Organizations documentação.

Administrador do AWS Control Tower

Teste aplicativos e conectividade.

Quando a conta do membro é registrada na nova organização, ela aparece na OU dentro de uma raiz. Ele também aparece no AWS Control Tower console, marcado como não inscrito em contas, porque ainda não foi inscrito na AWS Control Tower OU registrada.

Verifique o seguinte:

Verifique o AWS Control Tower painel para ver se há alguma violação da barreira de proteção.
Verifique a conectividade de rede (VPN ou AWS Direct Connect) para garantir que ela não tenha sido afetada pela transferência.
(Proprietários do aplicativo) Teste os aplicativos associados a essa conta para verificar se eles são executados conforme o esperado e se as dependências não foram afetadas pela transferência da conta.

Administrador do AWS Control Tower, administrador da conta do membro, proprietários de aplicativos

Tarefa	Description	Habilidades necessárias
Revise os controles e corrija quaisquer violações.	Revise os controles definidos na UO de destino, especialmente os controles preventivos, e corrija quaisquer violações. Vários controles preventivos obrigatórios são ativados por padrão quando você configura sua AWS Control Tower landing zone. Elas não podem ser desabilitadas. Você deve revisar esses controles obrigatórios e corrigir a conta do membro (manualmente ou usando um script) antes de cadastrar a conta. nota Os controles preventivos mantêm as contas AWS Control Tower registradas em conformidade e evitam violações de políticas. Qualquer violação dos controles preventivos pode afetar a inscrição. As violações do controle de detetives aparecem no AWS Control Tower painel, se detectadas, após a inscrição bem-sucedida. Eles não afetam o processo de inscrição. Para obter mais informações, consulte Sobre os controles na AWS Control Tower documentação.	Administrador do AWS Control Tower, administrador da conta do membro
Verifique se há problemas de conectividade após corrigir as violações de controle.	Em alguns casos, talvez seja necessário fechar portas específicas ou desativar serviços para corrigir violações de controle. Certifique-se de que os aplicativos que usam essas portas e serviços sejam corrigidos antes de registrar a conta.	Proprietário do aplicativo

Tarefa

Description

Habilidades necessárias

Revise os controles e corrija quaisquer violações.

Revise os controles definidos na UO de destino, especialmente os controles preventivos, e corrija quaisquer violações.

Vários controles preventivos obrigatórios são ativados por padrão quando você configura sua AWS Control Tower landing zone. Elas não podem ser desabilitadas. Você deve revisar esses controles obrigatórios e corrigir a conta do membro (manualmente ou usando um script) antes de cadastrar a conta.

nota

Os controles preventivos mantêm as contas AWS Control Tower registradas em conformidade e evitam violações de políticas. Qualquer violação dos controles preventivos pode afetar a inscrição. As violações do controle de detetives aparecem no AWS Control Tower painel, se detectadas, após a inscrição bem-sucedida. Eles não afetam o processo de inscrição. Para obter mais informações, consulte Sobre os controles na AWS Control Tower documentação.

Administrador do AWS Control Tower, administrador da conta do membro

Verifique se há problemas de conectividade após corrigir as violações de controle.

Em alguns casos, talvez seja necessário fechar portas específicas ou desativar serviços para corrigir violações de controle. Certifique-se de que os aplicativos que usam essas portas e serviços sejam corrigidos antes de registrar a conta.

Proprietário do aplicativo

Tarefa	Description	Habilidades necessárias
Faça login em AWS Control Tower.	Faça login no console do AWS Control Tower. Use credenciais de login que tenham permissões administrativas para. AWS Control Tower Não use as credenciais do usuário raiz (conta de gerenciamento) para registrar uma AWS Organizations conta. Isso exibirá uma mensagem de erro.	Administrador do AWS Control Tower
Registre a conta.	Na página Account Factory em AWS Control Tower, escolha Inscrever conta. Preencha os detalhes, incluindo o endereço de e-mail associado à conta que você deseja inscrever, o nome de exibição que aparecerá AWS Control Tower, o endereço de e-mail do IAM Identity Center, o nome e o sobrenome do proprietário da conta e a OU na qual você gostaria de inscrever a conta. O endereço de e-mail do IAM Identity Center é o endereço de e-mail de seu usuário preferido. Você pode usar o mesmo endereço de e-mail do e-mail da conta. Escolha Enroll account (Registrar conta). Para obter mais informações, consulte Sobre a inscrição de contas existentes na AWS Control Tower documentação.	Administrador do AWS Control Tower

Tarefa	Description	Habilidades necessárias
Verifique a conta.	AWS Control Tower Em, escolha Contas. A conta que você acabou de cadastrar tem um estado inicial de Inscrição. Quando a inscrição é concluída, seu estado muda para Inscrito.	Administrador do AWS Control Tower, administrador da conta do membro
Verifique se há violações de controle.	Os controles definidos na OU serão aplicados automaticamente à conta do membro inscrito. Monitore o AWS Control Tower painel em busca de violações e corrija-as adequadamente. Para obter mais informações, consulte Sobre os controles na AWS Control Tower documentação.	Administrador do AWS Control Tower, administrador da conta do membro

Solução de problemas

Problema	Solução
Você recebe a mensagem de erro: Ocorreu um erro desconhecido. Tente novamente mais tarde ou entre em contato com o AWS Support.	Esse erro ocorre quando você usa as credenciais do usuário root (conta de gerenciamento) AWS Control Tower para registrar uma nova conta. AWS Service Catalog não é possível mapear o portfólio ou o produto Account Factory para o usuário raiz, o que resulta na mensagem de erro. Para corrigir esse erro, use as credenciais de usuário (administrador) não raiz e com acesso total para registrar a nova conta. Para obter mais informações sobre como atribuir acesso administrativo a um usuário administrativo, consulte Introdução na documentação do IAM Identity Center.
A página AWS Control Tower Atividades exibe uma ação Obter deriva catastrófica.	Essa ação reflete uma verificação de desvio do serviço e não indica nenhum problema com a AWS Control Tower configuração. Nenhuma ação é necessária.

Problema

Solução

Você recebe a mensagem de erro: Ocorreu um erro desconhecido. Tente novamente mais tarde ou entre em contato com o AWS Support.

Esse erro ocorre quando você usa as credenciais do usuário root (conta de gerenciamento) AWS Control Tower para registrar uma nova conta. AWS Service Catalog não é possível mapear o portfólio ou o produto Account Factory para o usuário raiz, o que resulta na mensagem de erro. Para corrigir esse erro, use as credenciais de usuário (administrador) não raiz e com acesso total para registrar a nova conta. Para obter mais informações sobre como atribuir acesso administrativo a um usuário administrativo, consulte Introdução na documentação do IAM Identity Center.

A página AWS Control Tower Atividades exibe uma ação Obter deriva catastrófica.

Essa ação reflete uma verificação de desvio do serviço e não indica nenhum problema com a AWS Control Tower configuração. Nenhuma ação é necessária.

Recursos relacionados

Documentação

Terminologia e conceitos (AWS Organizations documentação)
O que AWS Control Toweré (AWS Control Tower documentação)
Removendo uma conta de membro de uma organização (AWS Organizations documentação)
Configuração (AWS Control Tower documentação)

Tutoriais e vídeos

AWS Control Tower workshop (workshop individualizado)
O que AWS Control Toweré (vídeo)
Provisionamento de usuários em AWS Control Tower(vídeo)

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Estratégia de várias contas

Configure alertas para encerramentos programáticos de contas no AWS Organizations