本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
注册现有 OU
在 AWS Control Tower 控制台的组织页面上,您可以查看层次结构中的所有 OUs 组织和账户,包括 OUs 在 AWS Control Tower 注册的和未注册的账户。
通常,未注册 OUs 是在中创建的 AWS Organizations,并且不受任何其他着陆区的管辖。您可以注册最多包 OUs 含 1000 个账户的现有账户。如果一个 OU 包含的账户超过 1000 个,则无法在 AWS Control Tower 中进行注册。
从控制台注册现有 OU
-
登录 https://console.aws.amazon.com/controltower 上的 AWS Control Tower 控制
台。 -
在左侧窗格导航菜单中,选择组织。
-
在组织页面上,选择要注册的 OU 旁边的单选按钮,然后从右上角的操作下拉菜单中选择注册组织单元,或者选择 OU 的名称,以便查看该 OU 的 OU 详细信息页面。
-
在 OU 详细信息页面的右上角,您可以从操作下拉菜单中选择注册 OU。
注册过程至少需要 10 分钟才能将监管范围扩展到 OU,每增加一个账户最多需要 2 分钟。
向注册现有 OU APIs
要向 AWS Control Tower 注册现有 OU APIs,您可以在baselineIdentifier字段AWSControlTowerBaseline中调用 EnableBaseline API。有关更多信息,请参阅 APIs 仅使用注册 AWS Control Tower 组织单位。
注册现有 OU 的结果
注册现有 OU 后,AWSControlTowerExecution 角色允许 AWS Control Tower 将监管范围扩展到个人账户。强制执行防护机制,并将有关账户活动的信息报告给您的审计和日志记录账户。
其他结果还包括:
-
AWSControlTowerExecution允许 AWS Control Tower 审计账户进行审计。 -
AWSControlTowerExecution可帮助您配置组织的日志记录,以便每个账户的所有日志都发送到日志记录账户。 -
AWSControlTowerExecution确保您选择的 AWS Control Tower 控制措施自动应用于您 OUs中的每个个人账户以及您在 AWS Control Tower 中创建的每个新账户。
对于已注册的 OU,您可以根据 AWS Control Tower 控件所包含的审计和日志记录功能提供合规性和安全性报告。您的安全性和合规性团队可以验证是否满足所有要求,并且没有发生组织偏移。有关偏移的更多信息,请参阅 在 AWS Control Tower 中检测并解决偏移问题。
注意
当 AWS Control Tower 显示 OUs 及其账户时,可能会出现一种异常情况。如果您在一个已注册的 OU 中创建了一个账户,随后又将该注册账户移动到另一个未注册的 OU 中,特别是如果您使用 AWS Organizations 来移动该账户,就会在 OU 详细信息页面中看到“1 个(共 0 个)”账户的结果。此外,您可能已在该未注册的 OU 中创建了另一个未注册的账户。如果有未注册的账户,控制台可能会显示该 OU 为“1 个(共 1 个)”。看起来,单个(新创建的)账户已注册,但实际上并非如此。您必须注册新账户。
